Доктор Веб попереджає: новий шифрувальник кодує файли без можливості відновлення
«Доктор Веб» попереджає про появу нової шкідливої програми, яка атакує користувачів операційних систем Windows з метою наживи.
Зловред отримав позначення Trojan.Encoder.25129. Це троян-шифрувальник, який кодує дані на інфікованому комп'ютері. На жаль, через помилку вірусописачів відновлення пошкоджених шифрувальником файлів у більшості випадків неможливе.
Після проникнення на ПК зловред перевіряє географічне розташування користувача за IP-адресою. За задумом зловмисників, троян не повинен кодувати файли, якщо комп'ютер розташований у Росії, Білорусі чи Казахстані, а також якщо в налаштуваннях операційної системи встановлено російську мову та російські регіональні параметри. Однак через помилку коду програма шифрує файли незалежно від географічної приналежності IP-адреси.
Троян кодує вміст папок поточного користувача, робочого столу Windows, а також службових папок AppData та LocalAppData. Шифрування здійснюється з використанням алгоритмів AES-256-CBC, зашифрованим файлам надається розширення .tron.
За відновлення доступу до файлів зловмисники вимагають викуп у криптовалюті — біткоїнах. Але навіть заплативши гроші, що категорично не рекомендується, жертви зловреда не зможуть повернути свої дані.