Компания «Доктор Веб» в конце апреля о массовом распространении в почтовом спаме по всему миру вредной программы Trojan.Matsnu.1, шифрующей файлы пользователя. В конкретно в этом материале мы представляем обстоятельное изыскание принципов работы этой вредной программы, а уж уж уж уж тоже информацию, которая перемножать посодействовать юзерам избежать инфецирования Trojan.Matsnu.1.
Троянец напечатан на языке Ассемблер, распространяется в облике заархивированных исполняемых файлов, вложенных в почтовые спам-сообщения с темой, в коей упоминается имя получателя. коли юзер раскрывает картотека так точно запускает содержащееся в нем приложение, троянец загружает в приостановленном состоянии svchost.exe так точно записывает в него личный вирусный код. подобным образом, кончено последующие деструктивные действия, реализующие функционал Trojan.Matsnu.1, будут производиться в контексте модуля svchost. позже троянец предохраняет свою копию с расширением .pre во временную папку Windows, запускает эту копию, а уж уж уж уж подлинный файл удаляет.
После этого на базе серийного гостиница жесткого диска Trojan.Matsnu.1 генерирует редкостный идентификационный номер инфицированной автомобиля (PCID). данный номер применяют в качестве ключа шифрования при общении с командным сервером.
Выполнив подготовительные этапы инсталляции так точно инициализации, троянец показывает на экране извещение об ошибке приложения Acrobat Reader: «Error: Could not write value Folders to key», синхронно с данным снимок главного модуля сберегается в папку Windowssystem32 с именем, включающим серийный номер жесткого диска инфицированного персонального персонального персонального персонального персонального персонального компьютера так точно комплект случайных символов. данный дорога записывается в качестве смысла параметра Userinit в отрасли системного реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon.
Примечательно, точно Trojan.Matsnu.1 закончить делает данный шаг на 64-разрядных системах.
Другая снимок троянца помещается в папку %AppData%случайная строка, дорога к данному файлу записывается в отрасль системного реестра, отвечающую за автозагрузку приложений. Далее, способом неоднократного вызова утилиты reg.exe с всевозможными аргументами, Trojan.Matsnu.1 отключает загрузку в неопасном режиме, перекрывает вероятность пуска утилит taskmanager.exe, regedit.exe, msconfig.exe.
Поскольку троянец закончить сберегает в своих ресурсах отвечающие за разговор с юзером графические файлы, они загружаются с удаленного сервера в облике CAB-архива. требования к командному серверу посылает снимок Trojan.Matsnu.1, хранящаяся во временной папке Windows. Из загруженного вредной программой архива извлекаются файлы способом вызова нормальной утилиты extrac32.exe. коли снюхаться с командным центром закончить удалось, пробы соединения будут повторяться с перерывом в 20 минут. В случае удачной загрузки так точно распаковки архива Trojan.Matsnu.1 предохраняет познания о своем состоянии в конфигурационный файл, генерирует случайный родник так точно посылает его на сервер злоумышленников, потом чего старается зашифровать кончено файлы на дисках инфицированного компьютера. Сгенерированный троянцем родник закончить сберегается на зараженной машине. коли на конкретно в этом рубеже троянцу закончить удастся навалить с удаленного узла картотека с изображениями, потом перезагрузки персонального персонального персонального персонального персонального персонального компьютера ему же довольно сызнова передано управление, так точно Trojan.Matsnu.1 сумеет зашифровать файлы, коли приобретет надлежащую директиву от командного центра. У зашифрованных файлов троянец обменивает имя по шаблону locked-filename. <random>, где-нибудь filename — оригинальное имя файла с расширением, а уж уж уж уж <random> — последовательность из четырех случайных символов.
При надлежащем запуске Windows производится снимок Trojan.Matsnu.1, сохраненная в папке %AppData%случайная строка, либо снимок из папки Windowssystem32. На экране персонального персонального персонального персонального персонального персонального компьютера показывается диалоговое окно, содержащее раньше извлеченные из архива изображения.
В диалоговых окнах, демонстрируемых юзеру вредной программой Trojan.Matsnu.1, говорится о том, точно его система была инфицирована троянцем-кодировщиком, зашифровавшим кончено файлы на жестких дисках. преступники просят юзера закончить отключать персональный компьютер во избежание утраты данных. Для расшифровки файлов вирусописатели предлагают жертве навалить особое «обновление», цена коего составляет 50 евро. Для оплаты надлежит распорядиться одной из более всераспространенных на территории Европы платежных систем.
Одновременно с демонстрацией заданного сообщения троянец ждет поступления команд от удаленного управляющего центра. посреди принимаемых Trojan.Matsnu.1 директив можно наблюсти следующие:
убить систему (удалить кончено файлы на жестких дисках);
загрузить с веб-сайта злоумышленников указанную программу так точно забыть ее;
загрузить так точно продемонстрировать иные изображения для диалогового окна;
сохранить на диск присланный исполняемый файл так точно забыть его в облике фонового процесса;
расшифровать файлы (ключ присылается с веб-сайта злоумышленников вкупе с командой);
зашифровать файлы снова один с применением возобновил сгенерированного ключа;
обновить копия управляющих серверов;
обновить главный модуль троянца.
Учитывая машистые активные способности заданной троянской программы, невозможно недооценивать ее нездоровый потенциал. От воздействия Trojan.Matsnu.1 уже пострадало огромное численность юзеров в странах Европы так точно Латинской Америки. С целью посодействовать всем, кто-либо по неосмотрительности либо в силу факторов запустил на своем персональном компьютере это вредное приложение, фирма «Доктор Веб» выпустила особую утилиту для расшифровки файлов, коию можно .
Во избежание проникновения на ваши компы троянца Trojan.Matsnu.1, а уж уж уж уж тоже в целях минимизации последствий инфецирования помните о нескольких легких правилах:
Не открывайте вложения в сообщениях электронной почты, приобретенных из неблагонадежных источников.
Создавайте резервные клоны более ценных для вас файлов.
В случае коли ваши файлы оказались зашифрованы, закончить старайтесь отослать что-либо с дисков вашего персонального персонального персонального персонального персонального персонального компьютера либо переустановить операционную систему.
Если демонстрируемое на экране вашего персонального персонального персонального персонального персонального персонального компьютера изображение аналогично на представленное в подлинной статье, попробуйте собственноручно дешифровать файлы с поддержкой предлагаемой корпорацией «Доктор Веб» .
Если попытка закончить увенчалась успехом, обратитесь в антивирусную лабораторию фирме «Доктор Веб», создав тикет в категории «Запрос на лечение». данная услуга бесплатна.
Не позабудьте обернуться с соответственным заявлением в полицию.
НОВОЕ НА САЙТЕ
13 мая 2024 года
В 2023 году одними из самых функциональных опасностей возобновил стали троянские приложения Trojan.AutoIt, сотворенные с применением скриптового языка AutoIt. Они распространяются в составе иных вредных приложений так будто затрудняют их обнаружение. а уж уж уж уж уж уж уж уж тоже наблюдалась высочай... Вирусные новости
SPEAKERMARKET — маркетплейс спикеров. Вы организатор мероприятия и вам нужен спикер? Разместите запрос, получите предложения от спикеров, выберите наиболее подходящего. Вы спикер и хотите выступать на мероприятиях? Зарегистрируйтесь на сайте, […]
С целью коррекции ошибок так что усовершенствования свойства сертифицированного программного изделия Dr.Web Enterprise Security Suite, обеспечивающего антивирусную защиту, управление так что мониторинг любых узлов корпоративной сети, в приложениях формуляра произведены изменения.
Вирусным аналитикам фирме «Доктор Веб» поступило на разыскание приложение для ОС Android, которое содержало троян-кликер, неприметно раскрывающий маркетинговые веб-сайты настолько ровно выполняющий крики на веб-страницах. этакий троян умножать бытовать использован для скрытого показа рекламы, накручивания численности переходов по ссылкам, дизайна ... Горячая лента угроз и предупреждений о вирусной опасности!
2 мая 2024 года
Компания «Доктор Веб» информирует об обновлении дарового приложения Антивирус Dr.Web Light для Android.
В новейшей версии 12.2.2 обновлено антивирусное ядро, которое появляется сердцем приложения так что гарантирует надежную защиту от любых типов вредного ПО, так что сбыта очень ожидаемая юзерами содействие ОС Android 1... Антивирус Dr.Web