Требующий выкуп троян Arhiveus крадет данные с компьютеров своих жертв

Специалисты лаборатории Sophos раскрывают пароль, использованный в преступных целях.

"ДиалогНаука", официальный партнер компании Sophos в России, сообщает, что эксперты лаборатории SophosLabs™ (http://www.antivir.ru/main.phtml?/about/vendors/sophoslabs), всемирной сети центров анализа вирусов, шпионского ПО и спама, предупреждают пользователей о троянской программе, зашифровывающей данные на компьютере жертвы и затем пытающимся заставить пользователей сделать покупку на фармацевтическом сайте.

Троян Troj/Arhiveus-A (http://www.sophos.com/virusinfo/analyses/trojarhiveusa.html) (также известный под названием MayAlert) собирает все файлы из папки "Мои документы" ничего не подозревающего пользователя и создает зашифрованный файл EncryptedFiles.als.

Когда пользователи пытаются открыть свои файлы, они перенаправляются к файлу, содержащему инструкции по восстановлению данных. Инструкция начинается со следующего послания:

INSTRUCTIONS HOW TO GET YOUR FILES BACK
READ CAREFULLY. IF YOU DO NOT UNDERSTAND - READ AGAIN.

Это автоматически генерирующееся сообщение архиватора.

Ваш компьютер заражен с помощью нашей программы, которая попала к Вам во время просмотра Вами запрещенных веб-страниц с порно-содержанием, все ваши документы, текстовые файлы, базы данных в папке "Мои документы" были заархивированы и закрыты длинным паролем.

Вам не удастся разгадать пароль - его длина составляет 30 символов, что делает невозможным его вскрытие путем подбора всех возможных вариантов.

Не пытайтесь найти программу, зашифровавшую Вашу информацию - программы уже просто нет на Вашем жестком диске. Если Вы обратитесь в полицию, это не поможет, они не знают пароля. Если Вы сообщите куда-либо о нашем электронном адресе, это так же не поможет Вам восстановить файлы. Более того, Вы и наши посредники просто потеряете с нами контакт, и, следовательно, всю зашифрованную информацию.

Чтобы вернуть файлы (а это могут быть личные фотографии, письма, записи о домашних расходах или что-то еще), пользователи должны ввести пароль из 30 знаков, который, как им сообщается, станет активным только после того, как они совершат покупку на фармацевтическом сайте. К файлам доступ закрыт до тех пор, пока не будет введен правильный пароль.

"Покушения интернет-мошенников на деньги наивных пользователей становятся все наглее. Вы, конечно, можете пойти по легкому пути и заплатить за возврат данных, если попадете в подобную ситуацию, но это только лишний раз обнадежит мошенников на новые такие акции в будущем. Компании, регулярно совершающие резервное копирование своих данных, могут справиться с такой ситуацией довольно легко, однако менее аккуратные пользователи могут оказаться в затруднительном положении и, в конце концов, раскошелиться, - рассказывает Грэхем Клули (Graham Cluley), главный технический консультант Sophos. - Сегодня, большинство вирусов и троянов, с которыми мы сталкиваемся, пишутся с целью наживы, и мы не удивимся, если в будущем таких программ станет появляться все больше и больше. Покушения на пользовательские системы носят все более организованный и злонамеренный характер, и ни один компьютер уже не может обойтись без современного антивирусного ПО, брандмауэров и своевременных обновлений используемого ПО".

Эксперты лаборатории Sophos, проанализировав эту троянскую программу, смогли подобрать пароль, с помощью которого зашифровывались пользовательские данные.

"Пароль специально сделан длинным, чтобы усложнить задачу по его вскрытию. Эксперты лаборатории Sophos, изучив программный код Arhiveus, установили, что пароль выглядит следующим образом: mf2lro8sw03ufvnsq034jfowr18f3cszc20vmw, - продолжил Клули. - Поэтому теперь у тех, кто пострадал от деятельности этого трояна, нет никаких оснований выплачивать мошенникам деньги".

Представители Sophos сообщают также, что это не единичный случай хакерского ПО, целью которого является получение выкупа. В марте 2006 года троян под названием Zippo (http://www.antivir.ru/main.phtml?/press-center/security&newser=0000001142587113.txt&arh=1&start=31) предлагал пользователям заплатить $300, чтобы вернуть зашифрованные данные. В апреле троянская программа Ransom-A грозилась удалять (http://www.antivir.ru/main.phtml?/press-center/security&newser=0000001146233169.txt&arh=1&start=11) по одному файлу, пока не будет заплачен выкуп.

Компаниям рекомендуется защитить свою электронную корреспонденцию от вирусов, шпионского ПО и спама с помощью комплексного решения (http://www.antivir.ru/main.phtml?/products/products_org/workstation/smallbussuite), и обезопасить свои ПК и серверы, установив антивирусное ПО с автоматическим обновлением.

Информация представлена компанией "ДиалогНаука", официальным партнером Sophos в России.

О компании Sophos
Sophos является мировым лидером по созданию комплексных решений для противодействия угрозам безопасности. Компания разрабатывает защиту от вирусов, шпионских программ, спама и нарушений политик безопасности для корпоративного сектора, образовательных и правительственных учреждений. Надежные и простые в эксплуатации продукты Sophos применяют для своей защиты более 35 миллионов пользователей более чем в 150 странах. Имея за плечами 20-летний опыт работы и глобальную сеть аналитических центров, компания быстро реагирует на возникающие угрозы – независимо от уровня их сложности – и заслужила всеобщее одобрение в отрасли за высочайший уровень удовлетворения потребностей клиентов.

Источник: www.sophos.com

Опубликовано: 8 июня 2006 г.

Ключевые слова: нет

Извините, комментариев пока нет