Новый вирус FileCoder — уже не просто баннер

вирус баннер filecoder

Как сообщает лаборатория Eset, в сети Интернет появился и активно распространяется новый вирус — троян FileCoder (по классификации ESET — Win32/Filecoder и Win32/Gpcode) и его модификации. Количество заражений таким вирусом в сентябре увеличилось втрое — около 100 рабочих станций в день. Хотя эта цифра не особо и большая, но те счастливчики, кто его подхватил — столкнется с серьезными проблемами. Все дело в том, что FileCoder шифрует на подключенных дисках зараженного компьютера все файлы без разбора — документы, фотографии, аудиозаписи, архивы, видео. После чего вирус выводит на экран баннер: доступ к файлам ограничен в связи с тем, что компьютер оказался источником крайне опасного вируса или рассылки материалов порнографического содержания. Пользователю предлагается всего лишь оплатить труды вымогателей в размере где-то 100-200 евро (некоторые особо жадные просят 3000 евро). Прибыли авторов этого вируса эксперты оценили не менее чем в 3 млн евро.


Вообще, надо заметить, что это не обычный баннер блокировки рабочего стола, от которого можно не особо сложно избавиться с помощью кода. Выковырять FileCoder значительно сложнее.
Одна из модификаций вируса добавляет в конец содержимого зашифрованного файла вот такое сообщение:

вирус filecoder.bh

Способы внедрения вируса FileCoder пользователю:

— атаки типа Drive-by с использованием эксплойтов для скрытой установки;
— использование дополнительного загрузчика (программа-downloader);
— ручная установка атакующим через RDP.
— вложения электронной почты.

Методы шифрования, используемые FileCoder:

— Blowfish
— AES
— RSA
— TEA

Ключи шифрования FileCoder:

— могут быть произвольно сгенерированы.
— могут быть зашиты в самом файле вируса.
— могут быть заданы вручную (вариант проникновения через RDP).

Способы шифрования, используемые FileCoder:

— файл может быть зашифрован частично, а может и целиком.
— шифрование с использованием собственного кода.
— использование сторонних инструментов шифрования — может даже использоваться установленный у пользователя WinRAR с его механизмами шифрования архивов.
— последующее удаление оригинального файла либо перезапись.

Как избавиться от FileCoder:

Избавиться от вируса Filecoder можно, проверив систему антивирусом с актуальными базами. Лучше всего проверять с помощью диска Dr.Web LiveCD или Kaspersky Rescue Disk.

Как восстановить файлы, зашифрованные FileCoder:

На текущий момент практически никак, так как без ключа шифрования восстановить файлы, зашифрованные вирусом FileCoder не получится. Есть конечно несколько модификаций попроще, которые хранят пароль для расшифровки или используют очень простой шифр. Но как правило, такие встречаются крайне редко.

Помогло? Посоветуйте друзьям!



Новый вирус FileCoder — уже не просто баннер: Один комментарий

  1. анатолий

    Ребята очень хорошая работа,приятно,доступно,просто! Если позволите, буду забегать к вам в гости.

Добавить комментарий

Ваш адрес email не будет опубликован.