SHA1 a72200e7d8918b8d76e74bbb74bdde4ae4f1b8a2
Троянец-шифровальщик, получивший широкое распространение после 2 ноября 2015 года. Проникает на компьютеры пользователей через вредоносную рассылку. В качестве вложения в рассылаемые злоумышленниками письма используется небольшой файл, содержащий сценарий на языке JavaScript. Этот файл извлекает из себя приложение, которое и выполняет остальные действия, необходимые для обеспечения работы энкодера.
Приложение полезной нагрузки также упаковано и при выполнении сохраняет в системный реестр Windows зашифрованную динамическую библиотеку (.DLL), а в запущенный процесс explorer.exe троянец встраивает небольшой код, который считывает файл из реестра в память, расшифровывает и передает на него управление. Сама библиотека упакована UPACK и занимает около 20 Кбайт.
Список шифруемых файлов Trojan.Encoder.2843 хранит в ветви системного реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\. Для каждого файла используется уникальный ключ длиной 0x38, состоящий из заглавных латинских букв. Шифрование файлов осуществляется с использованием алгоритмов Blowfish-ECB с длиной ключа 448 бит, максимальная длина шифруемого блока составляет 0x14000000 байт. Каждому зашифрованному файлу присваивается расширение .vault.
Сессионный ключ шифруется с использованием RSA при помощи интерфейса CryptoAPI.
