Trojan.ArchiveLock.2 написан на языке PureBasic. Попадая на компьютер, этот троянец парализует работу операционной системы и демонстрирует на экране пользовательского компьютера требования злоумышленников. Затем троянец помещает в одну из системных папок приложение-шифровальщик. При последующем запуске с ключом install или -i шифровальщик устанавливается в операционную систему в качестве службы. Различные версии троянца используют разные имена файлов и описания данной службы.
После запуска в качестве системной службы модуль шифрования создает большое количество различных файлов, часть которых служит для хранения конфигурационных данных, сведений о путях к файлам настройки, журналам и исполняемым файлам, а также информацию об инфицированном компьютере. В частности, сохраняется версия ОС, данные о ее локализации, имена окон запущенных приложений, тип загрузки Windows (Normal или SafeMode) и т. д. Затем шифровальщик очищает Корзину, а также выполняет построение списка шифруемых и удаляемых файлов. В первую очередь Trojan.ArchiveLock.2 удаляет файлы, имеющие признаки резервных копий. Затем троянец по специальному алгоритму генерирует список паролей, запускает консольное приложение WinRAR и помещает в защищенные паролем SFX-архивы пользовательские файлы по заранее подготовленному списку. Всего Trojan.ArchiveLock.2 способен шифровать более 100 типов файлов. Исходные файлы уничтожаются с использованием утилиты Sysinternals SDelete, то есть с многократной перезаписью, вследствие чего восстановление уничтоженных файловых объектов становится невозможным. Часть файлов шифруется с простым паролем, созданным на основе серийного номера жесткого диска, другая часть — с использованием специально сгенерированного пароля, длина которого составляет более 50 символов. Имена зашифрованных файлов также изменяются по определенному алгоритму: например, графический файл picture.jpg после шифрования будет иметь вид: picture.jpg(!! to decrypt email id 12345678 to sec****@gmail.com !!).exe. Еще одним модулем троянской программы Trojan.ArchiveLock.2 является расшифровщик, восстанавливающий ранее заархивированные файлы, если пользователем указан правильный пароль.
Сигнатуры данной вредоносной программы присутствуют в базах антивирусного ПО Dr.Web, вследствие чего Trojan.ArchiveLock.2 неопасен для пользователей Антивируса Dr.Web и Dr.Web Security Space. Вместе с тем специалисты компании «Доктор Веб» разработали специальный алгоритм, позволяющий с высокой долей вероятности восстановить зашифрованные троянцем файлы. Если вы стали жертвой Trojan.ArchiveLock.2, обратитесь в компанию «Доктор Веб», создав тикет в категории «Запрос на лечение». Не удаляйте какие-либо файлы с вашего компьютера и не пытайтесь переустановить операционную систему — это может сделать расшифровку заархивированных троянцем данных невозможной.
Источник: Компания «Доктор Веб»
Источник: Компания «Доктор Веб»