SHA1:
- 883ee2b063bbc12d815fadaf20c9b31366869e05
- b1a6b942a1f7027f7e744433eadf48a274a96819
- 5f2160f9baf7dad89ab8b9a21a797be867294345
- aff78db1ca229931acb45a9ffa5edb6ed1f810c6
- 1a16c07527dc96951024514658da5653f2813325
- cfd603cee2038f6667cb337fd9459422c5a2703a
- 0c42b3b9d4e155db42e10887f58715244e1c17c8
- 30a9a4e998e586e28ce40958d7e60c7747c9a1f7
- 0028facdc4f4bb71b078f32bf87e4de38cb26641
- c74a1605294d35d30eba5e6e09c765b6829a6428
- ff6347734c9134ffa6d66cf746abf8ad68863354
Троянец-энкодер, шифрующий файлы на компьютере пользователя и требующий выкуп за их расшифровку. Распространяется в виде инсталлятора, созданного при помощи инструмента Smart Install Maker в качестве вложения в сообщение электронной почты, якобы отправленного от имени арбитражного суда или в виде ссылки на файл.
На сегодняшний день известны следующие адреса электронной почты злоумышленников:
vpupkin3@aol.com
mserbinov@aol.com
infohelp00@mail.ru
marivanna1953@gmail.com
systemsinfo32@gmail.com
madeled@mail.ru
trojan.encoder@gmail.com
gruzinrussian@aol.com
Устанавливается в качестве системной службы Windows, в зависимости от разрядности операционной системы выбирает для своей установки папку %SYSTEMDRIVE%\Program Files\winrar_update или %SYSTEMDRIVE%\Program Files (x86)\winrar_update.
Если на атакуемом компьютере установлена ОС Microsoft Windows XP, троянец дополнительно проверяет, запущен ли он из указанных папок и запущена ли в системе служба WCS. Если нет, троянец создает свою копию в одной из этих папок побайтным чтением и записью, устанавливает для этого файла неверное время создания и запускает собственную копию с параметрами /install и /silent. В остальных версиях Windows шифровальщик запускает свою копию с запросом на повышение привилегий (runas).
Троянец отсылает на управляющий сервер три параметра: version — собственную версию, id – идентификатор машины пользователя, который генерируется из текущей даты и случайного числа, и pass – закодированный пароль.
Троянец шифрует файлы на всех дисках компьютера за исключением файлов в папке Windows. Для каждого диска вызывает рекурсивную функцию шифрования файлов. В процессе своей работы создает в папке winrar_update файлы update.bin (в нем хранится значение id и зашифрованный пароль) и checkdata.diff (этот файл предназначен для временного хранения имен шифруемых файлов).
Энкодер зашифровывает файлы, имеющие следующие расширения:
.r3d; .rwl; .rx2; .p12; .sbs; .sldasm; .wps; .sldprt; .odc; .odb; .old; .nbd; .nx1; .nrw; .orf; .ppt; .mov; .mpeg; .csv; .mdb; .cer; .arj; .ods; .mkv; .avi; .odt; .pdf; .docx; .gzip; .m2v; .cpt; .raw; .cdr; .cdx; .1cd; .3gp; .7z; .rar; .db3; .zip; .xlsx; .xls; .rtf; .doc; .jpeg; .jpg; .mp3; .zip; .ert; .bak; .xml; .cf; .mdf; .fil; .spr; .accdb; .abf; .a3d; .asm; .fbx; .fbw; .fbk; .fdb; .fbf; .max; .m3d; .dbf; .ldf; .keystore; .iv2i; .gbk; .gho; .sn1; .sna; .spf; .sr2; .srf; .srw; .tis; .tbl; .x3f; .ods; .pef; .pptm; .txt; .pst; .ptx; .pz3; .mp3; .odp; .qic; .wps
Известно несколько модификаций этого троянца-шифровальщика. В разных версиях троянец использует различные алгоритмы шифрования. Общим во всех версиях является то, что при шифровании энкодер выбирает из файла несколько фрагментов и шифрует по отдельности каждый из них. При этом в хвосте файла обычно записываются смещения зашифрованных фрагментов, а также хэш MD5 от оригинального файла (он впоследствии используется для проверки корректности расшифровки). Кроме этого, в зависимости от версии и используемого алгоритма шифрования в конце файла могут присутствовать другие данные. Эта информация, за исключением хэша MD5 шифруемого файла, представлена в десятичной системе счисления, а значение MD5 записывается в шестнадцатеричной. Имеются основания полагать, что в некоторых версиях трояна в конце файла перед информацией для расшифровки сохраняются случайные данные, которые при расшифровке файла отсекаются.
В большинстве случаев, за исключением самых ранних, версия троянца указывается в конце имени зашифрованного файла (например ver-4.0.0.0, ver-CL 0.0.1.0). Кроме того, имя зашифрованного файла содержит e-mail злоумышленника и идентификатор зараженного компьютера.
На данный момент полноценная расшифровка возможна только для первых версий. Для 4-й и 5-й версии возможен подбор ключа и расшифровка, но только в некоторых случаях. Начиная с 6-й версии расшифровка невозможна.
