Новый вирус-троян шифрует файлы на жестком диске.
К нам поступил жесткий диск на восстановление данных со следующими симптомами. Файлы на диске зашифрованы выборочно. Зашифрованные файлы имеют расширение .STOP. В каталогах появляется текстовый файл следующего содержания:
Здравствуйте! Доносим до Вас не самую приятную новость, ваш компьютер был атакован опаснейшим вирусом. Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самых криптостойких алгоритмов. Все зашифрованые файлы имеют формат .STOP Восстановить файлы можно только при помощи дешифратора и пароля, который, в свою очередь, знаем только мы. Подобрать его невозможно. Переустановка ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная пароля. Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии. Напишите нам письмо на адрес razshifrovka@gmail.com (если в течение суток вам не ответят то на razshifrovka@tormail.org) для получения дальнейших инструкций. Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер. Среднее время ответа специалиста 1-12 часов. К письму прикрепите файл "РАСШИФРОВКА.TXT". Письма с угрозами ни к чему хорошему вас не приведут. НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы! <><><><><><><><><><><><><><><><><><><><><>
Это работа троянской программы, причем «на той стороне», предположительно, участвует оператор, который выбирает вручную, какие файлы будут зашифрованы. На нашем жестком диске была зашифрована только база «1С», остальная информация была читабельна.
Расшифровка на данный момент невозможна.
К сожалению, почти все, что было написано в текстовом файле злоумышленников, является истиной. Пароль известен только им, без пароля расшифровка на данный момент невозможна. Можно декриптовать отдельные кусочки файлов, но при этом сами файлы останутся по прежнему поврежденными. 99%, что пароль на атакованном компьютере вирус не сохраняет. Шифрование используется XOR и Blowfish. Судя по лог-файлам, которые «пострадавшие» выкладывали в сети, троян работает через незакрытые средства удаленного администрирования, RDP (Remote Desktop Protocol), также взламывались «легкие» пароли удаленного доступа. Больше всего пострадали ПК с ОС Windows Server 2003.
Восстановление файлов в данном конкретном случае оказалось невозможно — и статья написана с целью предупредить о последствиях экономии на лицензионном антивирусном ПО и напомнить еще раз о ежедневном резервном копировании важных коммерческих данных. Клиенту было предложено написать заявление в органы о преступлении и с участием спец-служб выходить на злоумышленников.
