Новий вірус-троян шифрує файли на жорсткому диску.
До нас надійшов жорсткий диск на відновлення даних з наступними симптомами. Файли на диску зашифровані вибірково. Зашифровані файли мають розширення .STOP. У каталогах з’являється текстовий файл такого змісту:
Це робота троянської програми, причому «на тій стороні», імовірно, бере участь оператор, який вибирає вручну, які файли будуть зашифровані. На нашому жорсткому диску була зашифрована тільки база «1С», інша інформація була читабельна.
Розшифровка на даний момент неможлива.
На жаль, майже всі, що було написано в текстовому файлі зловмисників, є істиною. Пароль відомий тільки їм, без пароля розшифровка на даний момент неможлива. Можна декріптувати окремі шматочки файлів, але при цьому самі файли залишаться як і раніше пошкодженими. 99%, що пароль на атакованому комп’ютері вірус не зберігає. Шифрування використовується XOR і Blowfish. Судячи з лог-файлів, які «постраждалі» викладали в мережі, троян працює через незачинені засоби віддаленого адміністрування, RDP (Remote Desktop Protocol), також зламувалися «легкі» паролі віддаленого доступу. Найбільше постраждали ПК з ОС Windows Server 2003.
Відновлення файлів в даному конкретному випадку виявилося неможливо – і стаття написана з метою попередити про наслідки економії на ліцензійному антивірусному ПО і нагадати ще раз про щоденне резервне копіювання важливих комерційних даних. Клієнту було запропоновано написати заяву в органи про злочин і за участю спец-служб виходити на зловмисників.
