Ta szczególna modyfikacja nazwana przez specjalistów Doctor Web jako Trojan.Encoder.2843 i dystrybuowana przez cyberprzestępców poprzez masowe mailingi, skrywała się pod postacią małego pliku zawierającego skrypt JavaScript. Ten plik, tuż po uruchomieniu, wypakowywał ze swojej zawartości aplikację zapewniającą działanie trojana. Ta wersja malware była dystrybuowana od 2-go listopada 2015.
Ten złośliwy program ma dość interesującą metodę działania. Po pierwsze, dodaje zaszyfrowaną bibliotekę łączoną dynamicznie (dynamic-link library -.DLL) do rejestru systemu Windows, a następnie wstrzykuje mały fragment kodu do procesu explorer.exe. Ten kod ładuje plik z rejestru do pamięci, odszyfrowuje go i przekazuje kontrolę do tego pliku.
Lista plików do zaszyfrowania jest również zapisana w rejestrze systemowym. Dla każdego pliku Trojan.Encoder.2843 generuje unikalny klucz zawierający duże litery alfabetu łacińskiego. Pliki są szyfrowane z użyciem Blowfish ECB, a klucz sesji jest szyfrowany algorytmem RSA z użyciem CryptoAPI. Nazwa każdego zaszyfrowanego pliku jest uzupełniana o rozszerzenie.vault.
Analitycy bezpieczeństwa Doctor Web opracowali nową technikę, która w większości przypadków, potrafi pomóc w odszyfrowaniu plików zaatakowanych przez to malware. Jeśli stałeś się ofiarą Trojan.Encoder.2843, postępuj zgodnie z poniższymi wskazówkami:
- Zawiadom policję.
- Pod żadnym pozorem nie próbuj rozwiązać problemu poprzez reinstalację, “optymalizację” lub “czyszczenie” systemu operacyjnego z użyciem dostępnych narzędzi.
- Nie kasuj żadnych plików ze swojego komputera.
- Nie próbuj przywracać zaszyfrowanych plików samodzielnie.
- Skontaktuj się ze wsparciem technicznym Doctor Web (darmowa usługa odszyfrowywania jest dostępna tylko dla osób, które zakupiły komercyjne licencje na produkty Dr.Web).
- Dołącz do swojego zgłoszenia plik zaszyfrowany przez trojana.
- Poczekaj na odpowiedź od wsparcia technicznego.
Jeszcze raz chcemy zaznaczyć, że darmowa usługa odszyfrowywania plików jest dostępna tylko dla użytkowników, który zakupili komercyjne licencje na produkty Dr.Web. Doctor Web nie jest w stanie zagwarantować, że wszystkie pliki zostaną odszyfrowane z powodzeniem, natomiast specjaliści podejmą wszystkie niezbędne kroki, aby odzyskać zaszyfrowane dane.