Общая информация

Этот тип трояна-вымогателя распространяется с помощью вредоносного ПО или через Интернет. Он отображает сообщения о том, что система заблокирована. Чтобы разблокировать систему, пользователь должен заплатить.

При запуске трояна появляется следующее сообщение:


 

Программа-вымогатель сообщает о том, что все файлы на компьютере зашифрованы с использованием ключа 2048 PGP.
Фактически, это шифрование RC4, и при наличии оригинальных файлов (сохраненных в резервной копии или на другом устройстве), можно выполнить дешифрование данных.

Поведение вредоносного ПО

Троян распространяется через вредоносное ПО или закачки с опасных веб-сайтов.

Он создает собственную копию в папке

C:\WINDOWS\system32\%random%.exe

Программа-вымогатель вносит в реестр следующие изменения:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"userinit"="C:\\WINDOWS\\system32\\userinit.exe,C:\\WINDOWS\\system32\\%random%.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "D8812EB1"="C:\\Documents and Settings\\%userprofile%\\Application Data\\%random%\\%random%.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000001 "DisableRegedit"=dword:00000001

Все файлы на компьютере, кроме системных папок "Windows" и "Program", блокируются методом RC4. При этом используется следующий синтаксис:

locked-*original file name*.*4 random characters*

С более подробной информацией о программах-вымогателях можно ознакомиться здесь.

Решение

Avira предоставляет средство дешифрования под названием "Avira Ransom File Unlocker".

Avira Ransom File Unlocker" – это инструмент, написанный на .NET 2.0 для дешифрования файлов, зашифрованных программами-вымогателями с помощью ключа 2048 PGP. Фактически, это шифрование RC4. При наличии оригинальных файлов (сохраненных в резервной копии или на другом устройстве), можно выполнить дешифрование данных.


 

Этот инструмент не изменяет и не удаляет зашифрованные файлы, чтобы избежать потери данных в случае неудачной дешифровки, если файлы были зашифрованы новой, неизвестной вредоносной программой.

Для дешифровки файлов пользователь должен выбрать зашифрованный файл на жестком диске и его оригинальную версию на том же диске или из другого источника.

Оригинальный файл должен быть точной копией зашифрованного, сохраненной до того, как система была заражена, иначе процесс дешифрования не удастся выполнить правильно.

Обновление до версии 1.0.1:
Теперь вы будете получать сообщения об ошибках при добавлении 2 зашифрованных или 2 дешифрованных файлов в качестве "заблокированного" и "оригинального файла".

Загрузить Avira Ransom File Unlocker