Способы борьбы с троянами-вымогателями, требующими 2048-битного шифрования PGP-RSA жесткого диска

Общая информация

Этот тип трояна-вымогателя распространяется с помощью вредоносного ПО или через Интернет. Он отображает сообщения о том, что система заблокирована. Чтобы разблокировать систему, пользователь должен заплатить.

При запуске трояна появляется следующее сообщение:

ransom trojan lockscreen
 

Программа-вымогатель сообщает о том, что все файлы на компьютере зашифрованы с использованием ключа 2048 PGP.
Фактически, это шифрование RC4, и при наличии оригинальных файлов (сохраненных в резервной копии или на другом устройстве), можно выполнить дешифрование данных.

Поведение вредоносного ПО

Троян распространяется через вредоносное ПО или закачки с опасных веб-сайтов.

Он создает собственную копию в папке

C:\WINDOWS\system32\%random%.exe

Программа-вымогатель вносит в реестр следующие изменения:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"userinit"="C:\\WINDOWS\\system32\\userinit.exe,C:\\WINDOWS\\system32\\%random%.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "D8812EB1"="C:\\Documents and Settings\\%userprofile%\\Application Data\\%random%\\%random%.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000001 "DisableRegedit"=dword:00000001

Все файлы на компьютере, кроме системных папок "Windows" и "Program", блокируются методом RC4. При этом используется следующий синтаксис:

locked-*original file name*.*4 random characters*

С более подробной информацией о программах-вымогателях можно ознакомиться здесь.

Решение

Avira предоставляет средство дешифрования под названием "Avira Ransom File Unlocker".

Avira Ransom File Unlocker" – это инструмент, написанный на .NET 2.0 для дешифрования файлов, зашифрованных программами-вымогателями с помощью ключа 2048 PGP. Фактически, это шифрование RC4. При наличии оригинальных файлов (сохраненных в резервной копии или на другом устройстве), можно выполнить дешифрование данных.

ransom file unlocker
 

Этот инструмент не изменяет и не удаляет зашифрованные файлы, чтобы избежать потери данных в случае неудачной дешифровки, если файлы были зашифрованы новой, неизвестной вредоносной программой.

Для дешифровки файлов пользователь должен выбрать зашифрованный файл на жестком диске и его оригинальную версию на том же диске или из другого источника.

Оригинальный файл должен быть точной копией зашифрованного, сохраненной до того, как система была заражена, иначе процесс дешифрования не удастся выполнить правильно.

Обновление до версии 1.0.1:
Теперь вы будете получать сообщения об ошибках при добавлении 2 зашифрованных или 2 дешифрованных файлов в качестве "заблокированного" и "оригинального файла".

Загрузить Avira Ransom File Unlocker

Рассматриваемые продукты

  • Avira Professional Security [Windows]
  • Avira Free Antivirus [Windows]
  • Avira Antivirus Premium 2013 [Windows]
  • Avira Antivirus Pro [Windows]
  • Avira Internet Security [Windows]
  • Avira Professional Security, Version 2012 [Windows]
  • Avira Antivirus Premium, Version 2012 [Windows]
  • Avira Internet Security, Version 2012 [Windows]
  • Avira Internet Security Suite [Windows]
  • Avira Family Protection Suite [Windows]
  • Avira Ultimate Protection Suite [Windows]
  • Создано : пятница, 27 апреля 2012 г.
  • Последнее изменение: понедельник, 14 октября 2013 г.
  • Оценить статью