Новые версии троянов-энкодеров появляются ежемесячно.Trojan.Encoder.6491 интересен тем, что он написан на разработанном компанией Google языке программирования Go: до этого вирусным аналитикам не встречались шифровальщики, созданные с использованием этой технологии, отметили в компании. При запуске Trojan.Encoder.6491 устанавливает себя в систему под именем Windows_Security.exe. Затем троян начинает шифровать хранящиеся на дисках файлы с помощью алгоритма AES. В процессе работы вредоносная программа пропускает файлы, в имени которых содержатся следующие строки: tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, Recycle.Bin, System Volume Information, Boot, Windows, .enc, Instructions, Windows_Security.exe.

Троян шифрует файлы 140 различных типов, определяя их по расширению. Trojan.Encoder.6491 кодирует оригинальные имена файлов методом Base64, а затем присваивает зашифрованным файлам расширение .enc. В результате, например, файл с именем Test_file.avi получит имя VGVzdF9maWxlLmF2aQ==.enc. Затем шифровальщик открывает в окне браузера файл Instructions.html с требованием выкупа в криптовалюте Bitcoin.

Примечательно, что Trojan.Encoder.6491 с определенным интервалом проверяет баланс Bitcoin-кошелька, на который жертва должна перевести средства. Зафиксировав денежный перевод, энкодер автоматически расшифровывает все зашифрованные ранее файлы с использованием встроенной функции.

Специалисты компании разработали специальную методику, позволяющую расшифровывать пострадавшие от этого трояна файлы.

Пользователи, ставшие жертвой вредоносной программы Trojan.Encoder.6491, могут воспользоваться следующими рекомендациями: обратиться с соответствующим заявлением в полицию; ни в коем случае не пытаться переустановить операционную систему, «оптимизировать» или «очистить» ее с использованием каких-либо утилит; не удалять никакие файлы на вашем компьютере; не пытаться восстановить зашифрованные файлы самостоятельно; обратиться в службу технической поддержки компании «Доктор Веб» (эта услуга бесплатна для пользователей коммерческих лицензий Dr.Web); к тикету необходимо приложить любой зашифрованный трояном файл; дождаться ответа специалиста службы технической поддержки. В связи с большим количеством запросов это может занять некоторое время.

Услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. «Доктор Веб» не дает полной гарантии расшифровки всех пострадавших от действия энкодера файлов.