Российские пользователи сильнее всего пострадали от нового опасного троянца FileCoder, который шифрует личные файлы владельцев компьютеров с целью получения выкупа за расшифровку. Об этом сообщают эксперты компании Eset – поставщика антивирусных программ и решений в области информационной безопасности.
В компании сообщают, что в июле этого года активность FileCoder возросла в три раза по сравнению с показателями первого полугодия. Наибольшая активность зафиксирована в нашей стране – по данным Eset, на долю России приходится 44% обнаружений FileCoder. Также значительная доля заражений зафиксирована в США и Европе. Каждый день троянец инфицирует сотни новых компьютеров во всем мире.
Для заражения ПК разработчики вредоносной программы и ее модификаций используют целый ряд методик. В их числе скрытая установка с помощью набора эксплойтов, использующих различные программные уязвимости, а также вредоносные вложения в письмах, рассылаемых по e-mail, и установка с помощью другой троянской программы. Кроме того, была зафиксирована установка FileCoder вручную с использованием доступа к компьютеру жертвы через удаленное подключение к рабочему столу.
Оказавшись в компьютере каким-либо способом, троян шифрует файлы пользователя, по расширению выбирая те, которые с наибольшей вероятностью могут представлять для него ценность, – как правило, это документы, фотографии, музыкальные файлы или архивы.
«Для шифрования файлов различные модификации FileCoder могут использовать как встроенный функционал самого трояна, так и сторонние легальные программы, – сообщают эксперты Eset, – например, была отмечена архивация файлов при помощи WinRAR с функцией защиты паролем».
После шифрования или архивации троянец избавляется от оригинального файла – иногда он просто удаляется, и в таких случаях его можно восстановить программными средствами. Однако чаще всего удаленные файлы перезаписываются без возможности восстановления. Таким образом, на зараженном компьютере остается только одна копия файла, надежно зашифрованная трояном-вымогателем.
Чтобы проинформировать пользователя о том, что его компьютер заражен, а файлы зашифрованы, троян демонстрирует всплывающее окно с подробной информацией о том, как расшифровать файлы. В разных модификациях трояна используются различные варианты текста, причем на разных языках. Эксперты обнаруживали сообщения на русском и английском, а также на плохом английском, скорее всего, переведенные онлайн-переводчиком.
В сообщении, которое видит пользователь, злоумышленники могут представляться официальной государственной службой, ограничившей доступ к компьютеру, поскольку ПК якобы распространяет чрезвычайно опасный вирус или ссылки на детское порно. При этом, описывая действие придуманного вируса, хакеры иронично отмечают, что он блокирует файлы пользователей и требует за разблокировку крупную сумму, правда, меньшую, чем указано в сообщении самих мошенников. Киберпреступники также добавляют, что пользователь может даже не пытаться сам удалить вирус, поскольку с ним не справились даже госслужбы.
Авторы трояна сообщают пользователю, что способов избавиться от вируса всего два – ждать 66 с небольшим нонилионов (10 в 54 степени) лет или же заплатить «специалистам» от 100 до 200 евро или схожую сумму в рублях. Некоторые модификации запрашивают 3000 евро.
Разумеется, даже после выполнения требований мошенников доступ к зашифрованным файлам обычно не возвращается. А в случае сложной методики шифрования у пользователя без ключа просто нет возможности расшифровать файлы самостоятельно. Поэтому эксперты рекомендуют не только устанавливать полноценную антивирусную защиту, но и производить регулярное резервное копирование ценной информации.