Новости компании «Доктор Веб»

Обновление однопользовательских продуктов Dr.Web 7.0

Wed, 16 May 2012 00:00:00 GMT

16 мая 2012 года

Компания «Доктор Веб» выпустила обновление сканирующего сервиса Scanning Engine для однопользовательских продуктов Антивирус Dr.Web и Dr.Web Security Space версии 7.0.

Обновление устраняет ошибку, которая может возникнуть в работе сервиса Scanning Engine в версиях ОС Windows для стран Восточной Азии.

Для пользователей обновление пройдет автоматически, однако потребуется перезагрузка компьютера.

Уникальные технологии обнаружения угроз, увеличение скорости и производительности в продуктах Dr.Web с централизованным управлением

Wed, 16 May 2012 00:00:00 GMT

16 мая 2012 года

Компания «Доктор Веб обновила антивирусное ядро Dr.Web Virus Finding Engine до версии 7.0 в продуктах Dr.Web Enterprise Security Suite, поддерживающих централизованное управление. Обновление произойдет автоматически для пользователей серверов 6.0.3 и 6.0.2. В версиях, предшествующих 6.0.2, антивирусное ядро Dr.Web Virus Finding Engine обновляться не будет.

Увеличение скорости сканирования

Одно из ключевых преимуществ нового ядра, которое смогут оценить пользователи – многократное увеличение скорости сканирования. На тестовом комплексе серверов антивирусной лаборатории «Доктор Веб» (с испытательной коллекцией файлов объемом 3 терабайта), используемых для контроля качества выпускаемых дополнений, скорость проверки с новым ядром Dr.Web Virus Finding Engine увеличилась в несколько раз. Кроме того, четырехкратное увеличение скорости было продемонстрировано на тестовых системах, аналогичных современным рабочим станциям. Эти результаты были достигнуты благодаря использованию нового формата вирусных баз Dr.Web и улучшенного алгоритма обработки проверяемых объектов.

Производительность

Другое ключевое преимущество нового ядра – динамическое выделение памяти, учитывающее производительность и текущую загруженность системы. Перераспределение памяти происходит в реальном времени, поэтому сканирование и распаковка больших файлов не замедляют работу других приложений. Новое ядро было также оптимизировано для многоядерных систем.

ScriptHeuristic и другие технологии обнаружения угроз

Благодаря новой технологии ScriptHeuristic эвристический анализатор ядра Dr.Web Virus Finding Engine может быстро выявлять вредоносные объекты в HTML- и PDF-документах — наиболее распространенных источниках вирусных угроз. Также добавлены процедуры для извлечения и анализа «невидимых» IFRAME-элементов. Проверка по вирусным базам теперь осуществляется с учетом синтаксиса языка JavaScript.

Технология структурной энтропии, использованная в новой версии антивирусного ядра, не имеет аналогов и является альтернативой сигнатурным записям. Она существенно улучшает механизм обнаружения угроз.

Оптимизация технологии универсальной распаковки FLY-CODE, уже используемой в продуктах Dr.Web, почти на треть сокращает время проверки. Новые алгоритмы эвристического анализа обеспечивают близкое к 100% обнаружение высокозащищенных троянских программ. Расширение технологии Origins Tracing даст возможность использовать данный инструмент обнаружения угроз и для проверки DEX-файлов (Android).

Для пользователей обновление пройдет автоматически.

Новый червь заражает RAR-архивы

Tue, 15 May 2012 16:45:34 GMT

15 мая 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — информирует о распространении вредоносной программы-червя Win32.HLLW.Autoruner.64548, способной заражать RAR-архивы. Червь «умеет» загружать с удаленного сервера злоумышленников исполняемые файлы, которые могут нести вредоносный функционал.

Вредоносная программа Win32.HLLW.Autoruner.64548 распространяется так же, как и многие другие черви: создает свою копию на диске и размещает в корневой папке файл autorun.inf, запускающий червя при подключении устройства. Начав свою работу на инфицированном компьютере, Win32.HLLW.Autoruner.64548 ищет на дисках RAR-архивы и записывает себя в них, используя одно из следующих имен: secret.exe, AVIRA_License.exe, Warcraft_money.exe, CS16.exe, Update.exe, private.exe, Autoruns.exe, Tutorial.exe, Autorun.exe, Readme.exe, Real.exe, readme.exe, Keygen.exe, Avast_keygen.exe. В некоторых случаях после подобной модификации архивы повреждаются.

Кроме того, червь имеет модуль полезной нагрузки. Также в его теле содержится исполняемый файл, который Win32.HLLW.Autoruner.64548 сохраняет в папку установки Windows в виде библиотеки mssys.dll. Ссылку на эту библиотеку вредоносная программа записывает в системный реестр. Полезную нагрузку червь встраивает в копию собственного процесса. Затем вредоносная программа соединяется с удаленным сервером злоумышленников и ожидает команд на загрузку и запуск исполняемых файлов.

Win32.HLLW.Autoruner.64548 — представитель достаточно редкой категории вредоносных программ, способных заражать RAR-архивы. При распаковке RAR-архивов обращайте внимание, не появились ли внутри подозрительные исполняемые файлы: их случайный запуск может нанести вред вашему компьютеру. Сигнатура данной угрозы добавлена в антивирусные базы Dr.Web.

Совместный проект «Доктор Веб» и МТС в Сибири: защитите свой ПК бесплатно

Tue, 15 May 2012 15:08:30 GMT

15 мая 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — совместно с оператором сотовой связи — компанией МТС — сообщает о запуске нового проекта. Покупатели интернет-модема от МТС в Cибирском регионе (Новосибирская, Омская, Томская, Кемеровская области; Алтайский край, Красноярский край; Республика Алтай, Республика Хакасия, Республика Тыва и Таймырский АО) теперь могут с помощью продукта комплексной защиты Dr.Web Security Space в течение трех месяцев бесплатно оградить свой ПК от всех видов интернет-угроз, а также получить скидку 40% на годовое продление лицензии Dr.Web.

Каждый покупатель 3G-модема от компании МТС в коробке с наклейкой Dr.Web становится обладателем серийного номера Dr.Web, который позволяет получать надежную антивирусную защиту Dr.Web Security Space в течение трех месяцев бесплатно. Приобретайте интернет-модем в любом салоне связи МТС, затем на странице download.drweb.com вводите в веб-форму серийный номер Dr.Web, который расположен на наклейке под скретч-полосой, и скачивайте Dr.Web Security Space совершенно бесплатно.

Участники проекта могут не только защитить свой компьютер от вредоносных программ, но и гарантированно получают скидку 40% на годовое продление Dr.Web Security Space. Комплексное решение проблемы защиты ПК в режиме онлайн, качественное лечение заражений, высокая скорость сканирования — все это и многое другое в продуктах Dr.Web позволит обеспечить надежную антивирусную защиту.

Подробности проекта читайте на drweb.com/drweb+mts.

Защищайте свой ПК бесплатно!

Открытие бета-тестирования утилиты Dr.Web CureIt! 7.0

Mon, 14 May 2012 04:00:00 GMT

14 мая 2012 года

Компания «Доктор Веб» информирует о выходе публичной бета-версии лечащей утилиты Dr.Web CureIt! 7.0. Это приложение является популярным инструментом для удаления вредоносных программ и лечения компьютера, оно объединяет в себе все преимущества аналогичных коммерческих решений других разработчиков. Ключевыми особенностями программы является усиленный режим для противодействия угрозам-блокировщикам и, конечно же, возможность совместной работы с другими антивирусными продуктами. Данная утилита использует самые современные технологии информационной безопасности, собранные в одном приложении, способном справиться даже с наиболее опасными типами угроз.

Лечащая утилита Dr.Web CureIt! 7.0 — это не очередное обновление популярного у многочисленных пользователей продукта, а принципиально новое поколение одного из самых известных в мире инструментов для борьбы с угрозами информационной безопасности. В седьмой версии утилиты применяется новая сканирующая подсистема, способная осуществлять проверку дисков компьютера в многопоточном режиме, при этом используются все преимущества многоядерных процессоров. Утилита оптимизирована для работы с самыми современными операционными системами, что позволило не только увеличить скорость проверки, но также сделать взаимодействие с пользователем более комфортным и удобным. Значительно повысилась и стабильность работы программы, практически исключена возможность появления в процессе сканирования BSOD («синего экрана смерти») в результате вызванного работой утилиты сбоя.

В седьмой версии лечащей утилиты был полностью переработан пользовательский интерфейс. Впервые в состав программы внедрена подсистема поиска руткитов, уже использовавшаяся ранее в продуктах Антивирус Dr.Web и Dr.Web Security Space версии 7.0. Значительно расширены возможности выборочной проверки компьютера: теперь пользователь может по отдельности выполнить проверку памяти, загрузочных секторов, объектов автозапуска и т.д. В седьмой версии лечащей утилиты предусмотрена возможность блокировки сетевого подключения в процессе проверки компьютера, а также возможность завершения работы операционной системы по окончании сканирования.

В новой версии приложения реализован функционал осуществления проверки BIOS персонального компьютера на заражение «биос-китами» - вредоносными программами, инфицирующими BIOS ПК. Специалисты компании «Доктор Веб» рекомендуют пользователям выполнить проверку своих компьютеров с применением седьмой версии лечащей утилиты в целях выявления новых типов вредоносных программ. Пользователи, желающие принять участие в бета-тестировании, могут загрузить бета-версию программы Dr.Web CureIt! 7.0 с сайта.

Обновление антивирусного ядра Dr.Web Virus Finding Engine

Mon, 14 May 2012 00:00:00 GMT

14 мая 2012 года

Компания «Доктор Веб» обновила антивирусное ядро Dr.Web Virus Finding Engine до версии 7.0.2 в однопользовательских продуктах Антивирус Dr.Web и Dr.Web Security Space версий 6.0 и 7.0, программных продуктах групп Dr.Web Desktop Security Suite, Dr.Web Server Security Suite (за исключением Dr.Web для файловых серверов Novell Netware), Dr.Web Mail Security Suite, Dr.Web Gateway Security Suite без возможности централизованного управления, интернет-сервисе AV-Desk, лечащих утилитах Dr.Web CureIt! и Dr.Web CureNet!, а также в инструментах аварийного восстановления системы Dr.Web LiveCD/LiveUSB.

В обновленное ядро добавлена процедура эвристического анализа загрузочных секторов диска. Исправлены ошибки, связанные с утечками памяти и решены проблемы, возникающие при проверке файлов apk (dex) и bzip2.

Для пользователей обновление пройдет автоматически.

Win32.Rmnet.16 атакует Великобританию и Австралию

Mon, 14 May 2012 00:00:00 GMT

14 мая 2012 года

В апреле 2012 года компания «Доктор Веб» — российский разработчик средств информационной безопасности — уже сообщала о том, что бот-сеть, построенная злоумышленниками на базе файлового вируса Win32.Rmnet.12, превысила по своей численности миллион инфицированных узлов. В последнее время специалистами «Доктор Веб» было отмечено распространение новой модификации вируса, получившей наименование Win32.Rmnet.16. Основное отличие данной версии вредоносной программы от ее предшественницы заключается в использовании цифровой подписи, которой подписывается IP-адрес управляющего сервера, также вирусописатели обновили основные функциональные модули приложения. Подавляющее число случаев заражения вирусом Win32.Rmnet.16 приходится на долю Великобритании и Австралии.

Файловый вирус Win32.Rmnet.16 написан на языках С и Ассемблер и состоит из нескольких функциональных модулей. Инжектор, внедряющий вирус в операционную систему, действует в точности так же, как и аналогичный компонент вируса Win32.Rmnet.12: встраивается в процессы браузера, сохраняет во временную папку собственный драйвер и запускает его в качестве системной службы Micorsoft Windows Service, затем копирует тело вируса во временную директорию и папку автозапуска со случайным именем и расширением .exe.

Функциональные возможности модуля бэкдора в целом идентичны такому же модулю, входящему в состав Win32.Rmnet.12. Данный компонент способен обрабатывать поступающие от удаленного центра директивы, в частности, команды на скачивание и запуск произвольного файла, обновление вируса, создание и отправку злоумышленникам снимка экрана и даже команду уничтожения операционной системы. Однако имеются в нем и существенные отличия: Win32.Rmnet.16 использует цифровую подпись, которой подписывается IP-адрес управляющего сервера, а адреса самих командных центров теперь не зашиты в ресурсах вредоносного приложения, а генерируются по специальному алгоритму. Кроме того, модуль бэкдора обладает функционалом, позволяющим «убивать» процессы большинства наиболее распространенных антивирусных программ, что само по себе является дополнительным фактором, свидетельствующим об опасности данной вредоносной программы. Загруженные бэкдором компоненты вируса и конфигурационные файлы сохраняются в зашифрованный файл с расширением .log и именем, сгенерированным на основе информации о компьютере. Этот файл размещается в папке %APPDATA%. Модуль, реализованный в библиотеке modules.dll, загружает данные из файла с расширением .log и настраивает их непосредственно в оперативной памяти компьютера, вследствие чего используемые вирусом компоненты на жестком диске ПК не расшифровываются.

Как и предыдущая версия вируса, Win32.Rmnet.16 умеет выполнять запись в загрузочную область диска (MBR), а также сохранять свои файлы в конце диска в зашифрованном виде. После перезагрузки операционной системы управление передается инфицированной загрузочной записи, которая читает и расшифровывает в памяти вредоносные модули, после чего запускает их. Данный функциональный компонент вируса получил собственное наименование: MBR.Rmnet.1. Следует отметить, что антивирусные программы Dr.Web позволяют восстанавливать загрузочную запись, модифицированную Win32.Rmnet.

Среди других модулей, загружаемых Win32.Rmnet.16 с удаленных командных центров, следует отметить компонент Ftp Grabber v2.0, предназначенный для кражи паролей от популярных FTP-клиентов, собственный FTP-сервер, шпионский модуль и несколько других функциональных компонентов.

Инфектор в новой версии вируса полиморфный, при этом вирусный модуль инфектора загружается с удаленного сайта злоумышленников. Вирус инфицирует все обнаруженные на дисках исполняемые файлы с расширением .exe и динамические библиотеки с расширением .dll, в том числе и системные, но, в отличие от Win32.Rmnet.12, не умеет копировать себя на съемные флеш-накопители.

Специалисты компании «Доктор Веб» внимательно отслеживают поведение одной из бот-сетей Win32.Rmnet.16. По данным на 11 мая 2012 года, данный ботнет насчитывает 55 310 инфицированных узлов, из которых больше половины (55,9%) расположены на территории Великобритании. На втором месте, с показателем 40% от общей численности вирусной сети, следует Австралия, почетное третье место (1,3%) делят США и Франция, менее 1% инфицированных компьютеров располагается на территории Австрии, Ирана, Индии и Германии. Наибольшее количество случаев заражения Win32.Rmnet.16 приходится на долю Лондона (5747 инфицированных ПК, или 10,4%), второй по численности выявленных ботов мегаполис — Сидней (3120 компьютеров, или 5,6%), далее следуют австралийские города Мельбурн (2670 случаев заражения, или 4,8%), Брисбен (2323 ПК, или 4,2%), Перт (1481 ПК, или 2,7%) и Аделаида (1176 ПК, или 2,1%). Порядка 1,5% инфицированных машин расположено в английских городах Бирмингеме и Манчестере. Распределение бот-сети Win32.Rmnet.16 по странам показано на представленной ниже иллюстрации.

Распространение бот-сети Win32.Rmnet.16 по странам мира

На территории России случаи заражения вирусом Win32.Rmnet.16 пока еще носят единичный характер, однако со временем ситуация может измениться. Специалисты компании «Доктор Веб» продолжают внимательно следить за данным ботнетом.

Обновление Dr.Web для Qbik WinGate

Mon, 14 May 2012 00:00:00 GMT

14 мая 2012 года

Компания «Доктор Веб» сообщает о выходе продукта Dr.Web для Qbik WinGate версии 6.00.1. В обновленную сборку включены антивирусное ядро Dr.Web Virus Finding Engine и вирусные базы версии 7.0, текущая версия сканирующего сервиса Scanning Engine и другие улучшения.

В антивирусном ядре Dr.Web Virus Finding Engine 7.0 реализованы новые технологии для обнаружения вредоносного ПО, такие как анализ структурной энтропии файлов и ScriptHeuristic, позволяющая искать и анализировать угрозы в документах HTML и PDF. Другие ключевые преимущества нового ядра – многократное увеличение скорости сканирования и динамическое выделение памяти, учитывающее производительность и текущую загруженность системы. Проверка по вирусным базам теперь выполняется с учетом синтаксиса языка JavaScript.

Кроме того, Антиспам теперь добавляет в заголовки нежелательных сообщений поле DrWeb-SpamReason, в котором указывается спам-рейтинг письма. Устранен недочет, приводивший к ошибкам при проверке трафика. Также была разрешена проблема, из-за которой в файле ini антивируса указывался неверный путь к обновленным вирусным базам.

Чтобы установить Dr.Web 6.00.1 для Qbik WinGate, необходимо вручную удалить текущую версию программы и установить последнюю версию, используя обновленный дистрибутив.

Выбирайте антивирус Dr.Web по выгодной цене — специальное предложение компании «БИТ»

Fri, 11 May 2012 16:27:25 GMT

11 мая 2012 года

«Доктор Веб» — российский разработчик средств информационной безопасности — совместно с компанией «1С:Бухучет и Торговля» (БИТ) объявляет о старте акции, в рамках которой все желающие могут приобрести антивирус Dr.Web и программное обеспечение Microsoft Office и по выгодной цене – 2800 рублей!

Купить акционный комплект можно в интернет-магазине www.soft.su и в магазинах партнеров дистрибьюторской сети «1С:Бухучет и Торговля» (БИТ). Программное обеспечение Microsoft Office 2010 Bonus Box x3 Family Pack, Антивирус Dr.Web Pro и оптическая беспроводная мышь предлагаются по суперцене — всего за 2800 рублей за все три продукта!

Предложение станет выгодным решением для всех пользователей продуктов Dr.Web и программного обеспечения Microsoft Office.

Покупайте надежную защиту по выгодной цене!

О компании «1С:Бухучет и Торговля» (БИТ)

Компания «1С:Бухучет и Торговля» (БИТ) является официальным партнером фирмы «1С» и представляет крупнейшую сеть среди фирм-франчайзи 1С. Более 30 офисов компании действуют в России, Украине и Казахстане.

www.soft.su

Обновление Dr.Web LiveDemo: новые возможности удаленного тестирования

Fri, 11 May 2012 10:49:13 GMT

11 мая 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает об обновлении сервиса Dr.Web LiveDemo, предназначенного для удаленного тестирования продуктов Dr.Web. Теперь у пользователей появилась возможность удаленного доступа в виртуальную тестовую сеть с уже установленными и настроенными решениями Dr.Web, что делает работу с бесплатным сервисом еще удобнее.

Dr.Web LiveDemo позволяет пользователям самостоятельно и в режиме онлайн проверять интересующие возможности таких продуктов Dr.Web, как Dr.Web Enterprise Suite, Dr.Web для почтовых серверов Unix, Dr.Web для MS Exchange, Dr.Web Mail Gateway, Dr.Web для интернет-шлюзов Unix, а также программно-аппаратный комплекс Dr.Web Office Shield. Новая версия сервиса расширяет возможности Dr.Web LiveDemo, делая работу с ним еще проще и удобнее.

Теперь сервис предоставляет пользователям виртуальную тестовую сеть с уже установленными и настроенными решениями Dr.Web. Это, в частности, разрешает использовать Dr.Web LiveDemo для демонстрации продуктов клиентам, обучения и тестирования специалистов различного уровня, а также упрощает работу с сервисом для тех пользователей, которым нужно проверить какие-либо возможности системы, но нет желания делать это на собственной сети.

Кроме того, в сервисе добавлены инструкции по тестированию Dr.Web для MS Exchange и Dr.Web для интернет-шлюзов Unix, а также дополнена инструкция по работе с сервисом на английском и французских языках.

О сервисе Dr.Web LiveDemo

Сервис удаленного тестирования продуктов Dr.Web LiveDemo позволяет снизить риски возникновения неожиданных проблем при работе с антивирусным ПО, оценить выбранный продукт до его покупки, приобрести навык установки и внедрения до начала полномасштабного развертывания в составе локальной сети, а также отработать процедуры перехода на новые версии программного обеспечения.

download.drweb.com/live_demo/about

Новое мошенничество угрожает пользователям Facebook

Sat, 05 May 2012 14:46:37 GMT

5 мая 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о появлении в самой популярной в мире социальной сети Facebook новой схемы мошенничества. Злоумышленники взяли на вооружение схему, печально известную участникам российских социальных сетей «В Контакте» и «Одноклассники», и создали для Facebook специальное приложение Profile Visitor, которое запрашивает у пользователя доступ к его стене, обещая показать список тех, кто посещал его страницу. На самом деле на стене пользователя публикуется картинка со ссылкой на мошеннический веб-сайт. В свою очередь друзья жертвы в Facebook получают уведомления, что они якобы были отмечены на этой картинке, что расширяет зону распространения вредоносной ссылки.

Заглянув к себе на страничку в социальной сети Facebook, пользователь может обнаружить в новостной ленте ссылку на программу Profile Visitor, якобы способную фиксировать и демонстрировать на специальной страничке посетителей его профиля. Ссылка, как правило, опубликована от имени одного из друзей пользователя и ведет на страничку встроенного приложения Facebook, для активации которого требуется разрешить программе публиковать контент от имени пользовательской учетной записи. Как только ничего не подозревающая жертва нажмет на кнопку «Разрешить», на стене ее профиля и в новостной ленте всех ее друзей появится ссылка на данное приложение, размещенная от ее имени. Однако даже если пользователь не разрешит программе Profile Visitor какие-либо публикации от его имени, все, кто зарегистрирован в списке его друзей, будут автоматически отмечены на «фотографии», представляющей собой рекламный баннер-ссылку приложения Profile Visitor. Уведомление об этом будет автоматически разослано по списку контактов в Facebook.

После этого в браузере жертвы автоматически откроется созданная злоумышленниками веб-страница, содержащая динамически меняющийся массив ссылок. По нажатию на любую из них пользователь будет перенаправлен на различные мошеннические сайты, содержание которых зависит от IP-адреса посетителя странички. Так, некоторые из них для доступа к информации требуют указать реквизиты банковской карты, другие предлагают пользователю ввести в специальную форму собственный номер мобильного телефона и набрать в соответствующем поле код, полученный в ответном СМС. Этот метод практикуется, в основном, в отношении русскоязычных посетителей: таким образом мошенники подписывают жертву на некую платную «информационную услугу», за оказание которой с ее счета будет ежемесячно списываться определенная сумма.

Среди демонстрируемых по нажатию на ссылки мошеннических ресурсов были замечены псевдолотереи с различными призами, онлайн-казино, психологические тесты, сервисы по подбору индивидуальных диет и т. д. Все эти сайты автоматически блокируются фильтром Dr.Web SpIDer Gate, встроенным в продукты Dr.Web.

Ранее подобные мошеннические схемы неоднократно применялись в отношении пользователей российских социальных сетей «В Контакте» и «Одноклассники», однако теперь сетевые жулики, по всей видимости, решили уделить внимание жителям зарубежных стран. Компания «Доктор Веб» настоятельно рекомендует пользователям Facebook не устанавливать Profile Visitor и не нажимать на ссылки с этим приложением, публикуемые в его новостной ленте, а также проявлять осторожность и осмотрительность.

Исследование функционала Trojan.Matsnu.1, шифрующего файлы пользователей по всему миру

Sat, 05 May 2012 09:54:50 GMT

5 мая 2012 года

Компания «Доктор Веб» в конце апреля уже сообщала о массовом распространении в почтовом спаме по всему миру вредоносной программы Trojan.Matsnu.1, шифрующей файлы пользователя. В данном материале мы представляем подробное исследование принципов работы этой вредоносной программы, а также информацию, которая может помочь пользователям избежать заражения Trojan.Matsnu.1.

Троянец написан на языке Ассемблер, распространяется в виде заархивированных исполняемых файлов, вложенных в почтовые спам-сообщения с темой, в которой упоминается имя получателя. Если пользователь открывает архив и запускает содержащееся в нем приложение, троянец загружает в приостановленном состоянии svchost.exe и записывает в него собственный вирусный код. Таким образом, все дальнейшие деструктивные действия, реализующие функционал Trojan.Matsnu.1, будут выполняться в контексте модуля svchost. Затем троянец сохраняет свою копию с расширением .pre во временную папку Windows, запускает данную копию, а оригинальный файл удаляет.

После этого на основе серийного номера жесткого диска Trojan.Matsnu.1 генерирует уникальный идентификационный номер инфицированной машины (PCID). Этот номер используется в качестве ключа шифрования при общении с командным сервером.

Выполнив предварительные этапы установки и инициализации, троянец демонстрирует на экране сообщение об ошибке приложения Acrobat Reader: «Error: Could not write value Folders to key», одновременно с этим копия основного модуля сохраняется в папку Windows\system32 с именем, включающим серийный номер жесткого диска инфицированного компьютера и набор случайных символов. Данный путь записывается в качестве значения параметра Userinit в ветви системного реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\. Примечательно, что Trojan.Matsnu.1 не выполняет этот шаг на 64-разрядных системах.

Другая копия троянца помещается в папку %AppData%\случайная строка\, путь к этому файлу записывается в ветвь системного реестра, отвечающую за автозагрузку приложений. Далее, путем многократного вызова утилиты reg.exe с различными аргументами, Trojan.Matsnu.1 отключает загрузку в безопасном режиме, блокирует возможность запуска утилит taskmanager.exe, regedit.exe, msconfig.exe.

Поскольку троянец не хранит в своих ресурсах отвечающие за диалог с пользователем графические файлы, они загружаются с удаленного сервера в виде CAB-архива. Запросы к командному серверу отправляет копия Trojan.Matsnu.1, хранящаяся во временной папке Windows. Из загруженного вредоносной программой архива извлекаются файлы путем вызова стандартной утилиты extrac32.exe. Если связаться с командным центром не удалось, попытки соединения будут повторяться с интервалом в 20 минут. В случае удачной загрузки и распаковки архива Trojan.Matsnu.1 сохраняет сведения о своем состоянии в конфигурационный файл, генерирует случайный ключ и отправляет его на сервер злоумышленников, после чего пытается зашифровать все файлы на дисках инфицированного компьютера. Сгенерированный троянцем ключ не сохраняется на зараженной машине. Если на данном этапе троянцу не удастся загрузить с удаленного узла архив с изображениями, после перезагрузки компьютера ему будет снова передано управление, и Trojan.Matsnu.1 сможет зашифровать файлы, если получит соответствующую директиву от командного центра. У зашифрованных файлов троянец меняет имя по шаблону locked-filename. <random>, где filename — оригинальное имя файла с расширением, а <random> — последовательность из четырех случайных символов.

При следующем запуске Windows выполняется копия Trojan.Matsnu.1, сохраненная в папке %AppData%\случайная строка\, либо копия из папки Windows\system32. На экране компьютера демонстрируется диалоговое окно, содержащее ранее извлеченные из архива изображения.

В диалоговых окнах, демонстрируемых пользователю вредоносной программой Trojan.Matsnu.1, говорится о том, что его система заблокирована, либо была инфицирована троянцем-кодировщиком, зашифровавшим все файлы на жестких дисках. Злоумышленники просят пользователя не выключать компьютер во избежание потери данных. Для расшифровки файлов вирусописатели предлагают жертве загрузить специальное «обновление». Для оплаты следует воспользоваться одной из наиболее распространенных на территории Европы платежных систем.

Одновременно с демонстрацией данного сообщения троянец ожидает поступления команд от удаленного управляющего центра. Среди принимаемых Trojan.Matsnu.1 директив можно отметить следующие:

убить систему (удалить все файлы на жестких дисках);
загрузить с сайта злоумышленников указанную программу и запустить ее;
загрузить и продемонстрировать другие изображения для диалогового окна;
сохранить на диск присланный исполняемый файл и запустить его в виде фонового процесса;
расшифровать файлы (ключ присылается с сайта злоумышленников вместе с командой);
зашифровать файлы еще раз с использованием вновь сгенерированного ключа;
обновить список управляющих серверов;
обновить основной модуль троянца.

Учитывая широкие функциональные возможности данной троянской программы, нельзя недооценивать ее вредоносный потенциал. От действия Trojan.Matsnu.1 уже пострадало большое количество пользователей в странах Европы и Латинской Америки. С целью помочь всем, кто по неосторожности или в силу обстоятельств запустил на своем компьютере это вредоносное приложение, компания «Доктор Веб» выпустила специальную утилиту для расшифровки файлов, которую можно бесплатно скачать с нашего сайта.

Во избежание проникновения на ваши компьютеры троянца Trojan.Matsnu.1, а также в целях минимизации последствий заражения помните о нескольких несложных правилах:

Не открывайте вложения в сообщениях электронной почты, полученных из неблагонадежных источников.
Создавайте резервные копии наиболее ценных для вас файлов.
В случае если ваши файлы оказались зашифрованы, не пытайтесь удалить что-либо с дисков вашего компьютера или переустановить операционную систему.
Если демонстрируемое на экране вашего компьютера изображение похоже на представленное в настоящей статье, попытайтесь самостоятельно расшифровать файлы с помощью предлагаемой компанией «Доктор Веб» бесплатной утилиты.
Если попытка не увенчалась успехом, обратитесь в антивирусную лабораторию компании «Доктор Веб», создав тикет в категории «Запрос на лечение». Эта услуга бесплатна.
Не забудьте обратиться с соответствующим заявлением в полицию.

Новые троянцы нацелились на Android-устройства с root-доступом

Thu, 03 May 2012 17:14:36 GMT

3 мая 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о появлении новых вредоносных программ для операционной системы Android. Под ударом находятся владельцы мобильных устройств, использующие систему с повышенными привилегиями.

Новые троянцы распространяются злоумышленниками вместе с легитимными приложениями через популярные сайты-сборники программного обеспечения и используют довольно интересный механизм работы. Вредоносные программы реализуют принцип «матрешки»: модифицированное приложение (детектируется Dr.Web как Android.MulDrop.origin.3) содержит другой программный пакет (apk-файл), который зашифрован. Фактически первое приложение является дроппером — своеобразным контейнером, служащим для доставки других вредоносных программ.

Немаловажной деталью является то, что создатели троянца в качестве основы для дроппера выбрали определенный тип приложений: системные утилиты, конфигураторы и т. д. Подобная разборчивость легко объясняется тем, что для работы большинства из них требуются права администратора, поэтому, когда после запуска такое приложение запрашивает root-доступ, пользователь может ничего не заподозрить.

В случае успешного получения необходимых привилегий Android.MulDrop.origin.3 расшифровывает скрытый в нем apk-файл и помещает его в системный каталог (/system/app/ под именем ComAndroidSetting.apk). Как это ни удивительно, но данное приложение, добавленное в вирусные базы как Android.MulDrop.origin.4, также является дроппером. Как и Android.MulDrop.origin.3, он содержит зашифрованный apk-пакет. Троянец активируется после очередного запуска системы, расшифровывает и устанавливает скрытый внутри него программный пакет, который, в свою очередь, является троянцем-загрузчиком и детектируется как Android.DownLoader.origin.2.

Android.DownLoader.origin.2 также имеет функцию автозапуска. После старта системы он соединяется с удаленным сервером и получает список приложений, которые ему необходимо загрузить и установить. В этом списке могут находиться как другие вредоносные программы, так и вполне безобидные приложения. Все зависит лишь от фантазии злоумышленников и преследуемых ими целей.

Стоит отметить, что 28 апреля 2012 года специалисты «Доктор Веб» обнаружили другую версию дроппера. Как и Android.MulDrop.origin.3, Android.MulDrop.origin.2 распространяется на различных сайтах-сборниках ПО, однако функционирует несколько иначе. После запуска троянец пытается поместить на карту памяти спрятанный внутри него зашифрованный apk-файл, который предварительно расшифровывает. Одновременно с этим он демонстрирует в панели уведомлений сообщение, содержащее фразу «Android Patch 8.2.3». Если пользователь нажмет на это сообщение, запустится стандартный процесс установки, однако из-за ошибки, допущенной авторами дроппера, он не способен записать необходимый пакет на карту памяти, поэтому установка становится невозможной.

В случае если бы авторы троянца не допустили ошибку, в систему установился бы троянец-загрузчик Android.DownLoader.origin.1, который имеет возможность автоматического запуска при каждом включении мобильного устройства. После соединения с удаленным сервером он получает конфигурационный xml-файл со списком приложений, которые ему требуется загрузить и установить в систему. На устройствах, не подвергавшихся модификации, это действие потребует участия пользователя, однако владельцы систем с наличием root-доступа не должны заметить ничего подозрительного.

Проведенный анализ показал, что дроппер Android.MulDrop.origin.2 был создан теми же авторами, что и Android.MulDrop.origin.3. Можно предположить, что Android.MulDrop.origin.2 является пробой пера злоумышленников и служит тестовой платформой для обкатки их технологий.

Пользователи Dr.Web для Android Антивирус + Антиспам и Dr.Web 7.0 для Android Light защищены от действия этих вредоносных программ. Чтобы минимизировать риск заражения, компания «Доктор Веб» призывает владельцев мобильных устройств на базе Android внимательнее относиться к устанавливаемым приложениям и источникам, из которых они получены, а также, по возможности, ограничиться официальным каталогом Google Play (play.google.com).

Обзор вирусной активности в апреле 2012 года: первый в истории масштабный ботнет для Mac OS X, миллионный ботнет для Windows и нашествие троянцев-кодировщиков на Европу

Wed, 02 May 2012 16:22:43 GMT

2 мая 2012 года

Апрель 2012 года запомнится пользователям как самый насыщенный месяц с точки зрения событий, связанных с угрозами информационной безопасности. В начале месяца специалистами компании «Доктор Веб» была обнаружена первая в истории масштабная бот-сеть, состоящая из компьютеров, работающих под управлением операционной системы Mac OS X. Чуть позже компания «Доктор Веб» объявила об установлении контроля над ботнетом Win32.Rmnet.12, численность которого превысила миллион инфицированных компьютеров. А во второй половине апреля началось нашествие троянцев-шифровальщиков, обеспокоившее сначала жителей западноевропейских стран, а чуть позже — и пользователей по всему миру. Эти и другие значимые апрельские события мы рассмотрим в рамках настоящего обзора.

«Маки» подверглись глобальной атаке

Первый в истории ботнет, созданный злоумышленниками с использованием вредоносной программы BackDoor.Flashback.39, в прямом смысле поразил более 800 000 работающих под управлением Mac OS X компьютеров, а в переносном — многочисленные информационные интернет-порталы и значительное число средств массовой информации. Новость быстро облетела весь мир, став сенсацией.

Еще в конце марта в антивирусную лабораторию компании «Доктор Веб» стали поступать сообщения о том, что злоумышленники активно используют известные уязвимости Java с целью распространения вредоносных программ для Mac OS X. Поскольку подобная информация приходила с определенной регулярностью и из различных источников, было высказано предположение, что использующий уязвимости Java троянец BackDoor.Flashback.39 может образовать бот-сеть на Apple-совместимых компьютерах. Данная вредоносная программа, как и многие другие подобные ей, имеет встроенный алгоритм подбора доменных имен, которые впоследствии используются троянцем в качестве управляющих серверов: такой подход, во-первых, позволяет значительно увеличить «живучесть» сети, а во-вторых, оперативно перераспределять нагрузку между командными центрами, если создаваемый ботами трафик превысит некие критические значения. С другой стороны, это дает возможность специалистам по информационной безопасности «вычислить» используемый троянцем метод выбора управляющих центров и создать «поддельный» командный сервер с целью собрать необходимую статистику или даже перехватить управление сетью. Данный подход носит наименование «sinkhole» и широко используется в антивирусной практике. Для проверки гипотезы о наличии ботнета, работающего на платформе Mac OS X, 3 апреля 2012 года специалистами компании «Доктор Веб» было зарегистрировано несколько доменов управляющих серверов BackDoor.Flashback.39. В тот момент никто всерьез не рассчитывал обнаружить самую крупную в истории бот-сеть для Mac OS X, учитывая достаточно высокую надежность и архитектурные особенности операционной системы, обеспечивающие относительную безопасность пользователя. Однако действительность превзошла самые смелые ожидания: в первые же часы контролируемые компанией «Доктор Веб» серверы зафиксировали активность более чем 130 000 ботов, к утру их число достигло 550 000, и управляющие центры просто перестали справляться с нагрузкой. 4 апреля 2012 года компания «Доктор Веб» выпустила пресс-релиз, сообщающий об обнаружении ею ботнета BackDoor.Flashback.39. Данное сообщение произвело эффект разорвавшейся бомбы — в течение суток оно было процитировано многими авторитетными мировыми новостными агентствами и другими СМИ.

Для того чтобы заразиться троянской программой BackDoor.Flashback.39, вполне достаточно соблюдения двух несложных условий: в операционной системе пользователя должна быть установлена Java, и пользователь должен открыть в браузере один из инфицированных веб-сайтов. Таковыми являются как специально созданные злоумышленниками веб-страницы, так и взломанные ресурсы, к которым вирусописатели получили доступ. Вредоносная веб-страница загружает апплет — специальную микропрограмму, написанную на языке Java. Используя уязвимость Java-машины, апплет сохраняет на жесткий диск компьютера Apple исполняемый файл и специальный файл .plist, отвечающий за запуск приложения. После этого апплет использует сервис launchd, которому передается сохраненный на диске конфигурационный файл, что позволяет запустить троянца без участия пользователя. Фактически жертва вообще не замечает момента заражения — пользователь просматривает в браузере веб-страницу, в то время как его «мак» уже инфицирован вредоносной программой.

Изначально компания «Доктор Веб» располагала данными только о некоторой части ботнета, использующей данную модификацию троянца BackDoor.Flashback, но уже 16 апреля были зарегистрированы дополнительные домены, имена которых генерируются на основе даты. Поскольку данные домены используются всеми подверсиями ботнета BackDoor.Flashback.39, регистрация дополнительных доменов управляющих серверов позволила более точно подсчитать размер вредоносной сети. Большая часть заражений приходится на долю США (56,6% инфицированных узлов), на втором месте находится Канада (19,8% инфицированных компьютеров), третье место занимает Великобритания (12,8% случаев заражения), на четвертой позиции — Австралия с показателем 6,1%.

4 апреля 2012 года корпорация Apple выпустила обновление Java, «закрывающее» используемую троянцем BackDoor.Flashback уязвимость, однако если компьютер был уже инфицирован ранее, установка обновления не защищала пользователя от действия вредоносной программы. Вскоре количество зараженных «маков» превысило 800 000. Несмотря на это уже спустя несколько дней многочисленные эксперты в сфере компьютерной безопасности отрапортовали о значительном сокращении численности бот-сети BackDoor.Flashback.39. Тем не менее, радость оказалась преждевременной: проведенное специалистами компании «Доктор Веб» расследование показало, что в расчеты экспертов закралась досадная ошибка.

Троянец BackDoor.Flashback.39 использует сложный алгоритм подбора доменных имен своих управляющих серверов: имена основной части доменов генерируются на основе встроенных в ресурсы вредоносной программы конфигурационных данных, другая часть создается в зависимости от текущей даты. Троянец осуществляет последовательный опрос командных центров в соответствии с заложенными в него приоритетами. Основные домены командных серверов BackDoor.Flashback.39 были зарегистрированы компанией «Доктор Веб» еще в начале апреля, и к ним составляющие сеть боты обращаются в первую очередь. Однако следом за серверами, принадлежащими компании «Доктор Веб», троянцы обращаются с соответствующим запросом к принадлежащему неизвестным лицам командному центру 74.207.249.7, устанавливающему связь с ботами, но не закрывающему TCP-соединение. Это приводит к тому, что боты переходят в режим ожидания ответа сервера и, как следствие, не опрашивают остальные командные центры, многие из которых были специально зарегистрированы специалистами по информационной безопасности. Это и является причиной появления противоречивой статистики от разных антивирусных компаний — с одной стороны, Symantec и «Лаборатория Касперского» заявляли о значительном уменьшении числа ботов, с другой — данные компании «Доктор Веб» неизменно указывали на существенно большее число инфицированных компьютеров при очень слабой тенденции к их уменьшению. Реальная динамика изменения численности бот-сети BackDoor.Flashback.39 показана на представленном ниже графике:

По данным на 28 апреля 2012 года, в сети BackDoor.Flashback.39 всего было зарегистрировано 824 739 ботов, из них проявляло активность 334 592.

Отдельный интерес представляет файл, загружаемый троянцем BackDoor.Flashback.39 на инфицированные компьютеры. Данное вредоносное приложение может быть запущено с привилегиями администратора или простого пользователя (в момент установки полезной нагрузки троянец демонстрирует на экране «мака» диалоговое окно для ввода пароля администратора) и использует два типа управляющих серверов. Первая категория командных центров реализует функции перехвата поискового трафика, перенаправления пользователя на контролируемые злоумышленниками сайты в процессе веб-серфинга и некоторые другие действия. Вторая группа позволяет отдавать ботам различные команды, реализующие на инфицированной машине функции бэкдора. Специалистам компании «Доктор Веб» удалось перехватить используемые полезной нагрузкой троянца BackDoor.Flashback домены управляющих серверов и произвести анализ обращений к ним ботов.

Первая категория управляющих доменов генерируется троянцем на основе заложенного в его конфигурационных данных списка, в дополнение к ним формируется еще один перечень доменов, имена которых зависят от текущей даты. При этом сформированное вредоносной программой имя домена второго уровня одинаковое, в то время как в качестве домена верхнего уровня используются различные варианты, такие как .org, .com, .co.uk, .cn, .in. Все управляющие серверы опрашиваются троянцем по очереди в порядке составленного списка, при этом командному центру передается GET-запрос /owncheck/ или /scheck/, содержащий в поле useragent значение UUID инфицированного «мака». Если в ответ троянец получит подписанное значение SHA1 от имени домена, то такой домен будет считаться доверенным и в дальнейшем будет использоваться в качестве командного сервера. Первые домены из этой категории были успешно перехвачены компанией «Доктор Веб» начиная с 12 апреля 2012 года.

После того как вредоносная программа определит домен из первой категории, начинается поиск доменов второго типа. На основе заложенного в конфигурационных данных списка бот опрашивает ряд доменов управляющих серверов, передавая им GET-запрос /auupdate/, содержащий в поле useragent подробную информацию об инфицированной системе. Если управляющий сервер не вернет правильный ответ, троянец формирует на основе текущей даты строку, которую использует в качестве хеш-тега для поиска по адресу http://mobile.twitter.com/searches?q=#<строка>. Если в Twitter удается обнаружить сообщение, включающее метки bumpbegin и endbump, между которыми содержится адрес управляющего сервера, он будет использован в качестве имени домена. Перехват доменов этой категории компания «Доктор Веб» начала 13 апреля, однако уже на следующий день, в субботу 14 апреля, зарегистрированная специалистами «Доктор Веб» учетная запись в Twitter была заблокирована.

По данным на 13 апреля 2012 года, на управляющие домены первой группы в течение суток поступило 30 549 запросов с уникальными UUID, на домены второй категории — 28 284 запросов с уникальными UUID за аналогичный промежуток времени. Общее количество запросов с уникальными UUID, отправленных на управляющие серверы полезной нагрузки ботнета BackDoor.Flashback, в период с 12 по 26 апреля 2012 года составило 95 563. Ниже представлены графики, демонстрирующие собранные специалистами компании «Доктор Веб» статистические данные на основе суточного анализа обращений полезной нагрузки ботнета BackDoor.Flashback к управляющим серверам за 13 апреля 2012 года.

Вскоре после выявления ботнета BackDoor.Flashback компания «Доктор Веб» создала специальный информационный сайт, посвященный данной угрозе. Воспользовавшись этим интернет-ресурсом, владельцы Apple-совместимых компьютеров могут проверить свой «мак» на наличие заражения. Здесь же опубликованы дополнительные материалы, посвященные троянцу BackDoor.Flashback, размещена видеопрезентация, рассказывающая о данной вредоносной программе, а также приведены ссылки на бесплатный сканер для Mac OS Х, позволяющий проверить операционную систему и удалить троянца в случае его обнаружения. Компания «Доктор Веб» продолжает внимательно следить за дальнейшим развитием ситуации.

Знакомьтесь: Rmnet — еще один ботнет

Согласно имеющейся в распоряжении компании «Доктор Веб» статистике, одно из лидирующих мест среди угроз, заражающих рабочие станции под управлением Microsoft Windows, занимает сейчас файловый вирус Win32.Rmnet.12. Распространение вируса происходит несколькими путями, в частности, с использованием уязвимостей браузеров, позволяющих сохранять и запускать исполняемые файлы при открытии веб-страниц. Вирус выполняет поиск всех хранящихся на дисках файлов html и добавляет в них код на языке VBScript. Помимо этого, Win32.Rmnet.12 инфицирует все обнаруженные на дисках исполняемые файлы с расширением .exe и умеет копировать себя на съемные флеш-накопители, сохраняя в корневую папку файл автозапуска и ярлык, ссылающийся на вредоносное приложение, которое в свою очередь запускает вирус.

Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению (умеет копировать сам себя и бесконтрольно распространяться без участия пользователя). Одним из компонентов вируса является модуль бэкдора. После запуска он пытается определить скорость соединения компьютера с Интернетом, для чего с интервалом в 70 секунд отправляет запросы на сайты google.com, bing.com и yahoo.com, анализируя отклики. Затем Win32.Rmnet.12 запускает на инфицированной машине FTP-сервер и устанавливает соединение с командным центром, передавая ему сведения о зараженном компьютере. Бэкдор способен обрабатывать поступающие от удаленного центра директивы, в частности, команды на скачивание и запуск произвольного файла, обновление самого себя, создание и отправку злоумышленникам снимка экрана и даже команду уничтожения операционной системы.

Другой функциональный компонент вируса предназначен для кражи паролей от наиболее популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других. Эти данные впоследствии могут быть использованы злоумышленниками для организации сетевых атак или для размещения на удаленных серверах различных вредоносных объектов. К тому же Win32.Rmnet.12 не брезгует покопаться и в cookies пользователя, в результате чего злоумышленники могут получить доступ к учетным записям жертвы на различных сайтах, требующих авторизации. Кроме того, модуль обладает функционалом, позволяющим осуществлять блокировку отдельных сайтов и перенаправление пользователя на принадлежащие вирусописателям интернет-ресурсы. Одна из модификаций Win32.Rmnet.12 также способна осуществлять веб-инжекты, благодаря чему вирус может похищать банковскую информацию.

Ботнет, состоящий из зараженных Win32.Rmnet.12 компьютеров, был впервые обнаружен компанией «Доктор Веб» еще в сентябре 2011 года, вскоре были расшифрованы хранящиеся в ресурсах Win32.Rmnet.12 имена управляющих серверов. Спустя некоторое время специалисты проанализировали протокол обмена данными между ботнетом и управляющими центрами, что позволило не только определять количество ботов в сети, но и контролировать их поведение. 14 февраля 2012 года аналитиками компании «Доктор Веб» был применен известный метод «sinkhole», который впоследствии успешно использовался для изучения сети троянцев BackDoor.Flashback.39, а именно были зарегистрированы домены управляющих серверов одной из сетей Win32.Rmnet.12, что позволило установить полный и всеобъемлющий контроль над этим ботнетом. В конце февраля аналогичным образом была захвачена вторая подсеть Win32.Rmnet.12. Динамика изменения численности контролируемой специалистами «Доктор Веб» бот-сети показана на представленном ниже графике.

Наибольшее количество зараженных ПК приходится на долю Индонезии — 320 014 инфицированных машин, или 27,12%. На втором месте находится государство Бангладеш с числом заражений 166 172, что составляет 14,08% от размеров всего ботнета. На третьем месте — Вьетнам (154415 ботов, или 13,08%), далее следуют Индия (83 254 бота, или 7,05%), Пакистан (46802 бота, или 3,9%), Россия (43153 инфицированных машины, или 3,6%), Египет (33261 бот, или 2,8%), Нигерия (27877 ботов, или 2,3%), Непал (27705 ботов, или 2,3%) и Иран (23742 бота, или 2,0%). Достаточно велико количество пострадавших от данного вируса на территории Казахстана (19773 случая заражения, или 1,67%) и Беларуси (14196 ботов, или 1,2%). В Украине зафиксирован 12 481 случай инфицирования Win32.Rmnet.12, что составляет 1,05% от размеров всей бот-сети. Относительно небольшое количество зараженных компьютеров выявлено в США — 4327 единиц, что соответствует 0,36%. Ну а меньше всего случаев приходится на долю Канады (250 компьютеров, или 0,02% от объемов сети) и Австралии (всего лишь 46 компьютеров). По одному инфицированному ПК было выявлено в Албании, Дании и Таджикистане. Географическое распределение ботнета Win32.Rmnet.12 продемонстрировано на предложенной ниже иллюстрации.

Шифровальщики покоряют Европу

В апреле неприятности выпали и на долю жителей европейских государств: ближе к середине месяца в антивирусную лабораторию компании «Доктор Веб» стали поступать сообщения от иностранных пользователей, пострадавших в результате действия троянцев-энкодеров и прежде всего вредоносной программы Trojan.Encoder.94. Как и другие представители данного семейства шифровальщиков, Trojan.Encoder.94 отыскивает на дисках инфицированного компьютера пользовательские файлы, в частности, документы Microsoft Office, музыку, фотографии, картинки и архивы, после чего шифрует их. Зашифровав пользовательские файлы, троянец выводит на экран сообщение, требующее выплатить злоумышленникам сумму в размере 50 евро или фунтов стерлингов с помощью платежных систем Ukash или Paysafecard.

Троянец имеет англоязычный интерфейс, однако случаи заражения уже были зафиксированы в Германии, Италии, Испании, Англии, Польше, Австрии, Норвегии, Болгарии и некоторых других странах. Вскоре стали поступать тревожные сообщения от жителей Бразилии, Аргентины, других государств Латинской Америки. География заражений троянцем охватила практически всю Европу, включая такие страны, как Хорватия, Швейцария, Нидерланды, Словения и Бельгия, Франция, Венгрия и Румыния. Специалисты «Доктор Веб» сумели расшифровать данные по запросам пользователей практически в ста процентах случаев, что говорит о высокой эффективности применяемых для этого технологий.

В конце апреля был зафиксирован всплеск распространения почтовых сообщений с заголовком «Ute Lautensack Vertrag Nr 46972057» и вложенным zip-архивом с именем Abrechnung или Rechnung. Архивы содержат троянскую программу Trojan.Matsnu.1, попытка запустить которую приводит к тому, что все файлы на дисках компьютера жертвы оказываются зашифрованными. Специалисты компании «Доктор Веб» в кратчайшие сроки проанализировали вредоносную программу Trojan.Matsnu.1 и разработали специальную утилиту, позволяющую расшифровать пользовательские данные. Эту утилиту можно бесплатно скачать по адресу ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe. Напоминаем, что если вы стали жертвой троянца-шифровальщика, воспользуйтесь следующими несложными рекомендациями:

ни в коем случае не пытайтесь переустановить операционную систему;
не удаляйте никаких файлов на вашем компьютере;
не пытайтесь восстановить зашифрованные файлы самостоятельно;
обратитесь в антивирусную лабораторию компании «Доктор Веб», создав тикет в категории «Запрос на лечение». Эта услуга бесплатна;
к тикету приложите зашифрованный троянцем файл;
дождитесь ответа вирусного аналитика. В связи с большим количеством запросов это может занять некоторое время.

Для минимизации последствий заражения вредоносными программами Trojan.Encoder.94 и Trojan.Matsnu.1 компания «Доктор Веб» рекомендует пользователям своевременно создавать резервные копии всех необходимых в работе файлов.

Другие «апрельские тезисы» и вирусные угрозы

По сравнению с уже описанными выше событиями все остальные угрозы информационной безопасности, выявленные и обезвреженные экспертами «Доктор Веб» в апреле 2012 года, не выглядят столь же сенсационно и представляют значительно меньшую опасность для пользователей. Так, в вирусные базы было добавлено описание вредоносной программы Trojan.Spambot.11349, предназначенной для кражи учетных записей почтовых клиентов (в частности, Microsoft Outlook и The Bat!) и передачи злоумышленникам данных, используемых функцией автозаполнения форм в веб-браузерах. Троянец распространяется с использованием бот-сети весьма известных бэкдоров Backdoor.Andromeda.

Троянец Trojan.Spambot.11349 состоит из двух компонентов: написанного на языке Delphi загрузчика и динамической библиотеки, в которой сосредоточена полезная нагрузка. Функции приложения-загрузчика в целом обычны для подобного рода вредоносных программ: это обход брандмауэра и установка в систему вредоносной библиотеки, которой после загрузки в память инфицированного компьютера передается управление.

Получив управление, вредоносная библиотека проверяет наличие на диске собственной копии и записывает в системный реестр значение из девяти случайных цифр, служащее уникальным идентификатором бота. Затем Trojan.Spambot.11349 сохраняет на диск библиотеку для работы с SSL и библиотеку zlib, с использованием которой троянец сжимает строки своих запросов. При этом в поле HOST отправляемых ботом запросов содержится посторонний IP-адрес, что является характерной особенностью Trojan.Spambot.11349. Использование отдельной динамической библиотеки для работы с zlib и SSL также можно назвать нечастым явлением в архитектуре вредоносных программ.

Одной из отличительных особенностей Trojan.Spambot.11349 является то, что эта вредоносная программа отправляет последовательность запросов на случайные IP-адреса, подобранные по специальному алгоритму из списка хранящихся в ресурсах троянца подсетей. Затем Trojan.Spambot.11349 устанавливает соединение с одним из трех управляющих серверов, адреса которых хранятся в теле библиотеки в зашифрованном виде, и ожидает от него получения конфигурационного файла. В случае если эта операция завершается успешно, троянец формирует строку запроса, содержащую украденные учетные данные почтовых клиентов Microsoft Outlook и The Bat!, упаковывает ее с помощью библиотеки zlib и передает на принадлежащий злоумышленникам удаленный сервер. Инфицировав систему, Trojan.Spambot.11349 проверяет возможность отсылки с зараженного компьютера спама, отправляя по электронной почте сообщения со случайным набором символов. Если проверка прошла успешно, троянец получает с удаленного сервера данные для последующего проведения спам-рассылки. По информации на 24 апреля, троянцы Trojan.Spambot.11349 осуществляли распространение почтовых сообщений, содержащих рекламу виагры.

Появились в истекшем месяце и новые угрозы для мобильной операционной системы Android. Так, еще в начале апреля семейство вредоносных программ Android.Gongfu пополнилось новым вредоносным экземпляром. Обновленная модификация троянца Android.Gongfu была обнаружена сразу в нескольких приложениях, распространяющихся через неофициальные сайты-сборники программного обеспечения. В частности, этот троянец был выявлен в модифицированном злоумышленниками дистрибутиве популярной игры Angry Birds Space.

В отличие от первых реализаций Android.Gongfu, новые модификации троянца не используют уязвимость Android, позволявшую им без участия пользователя повысить собственные привилегии в системе до уровня root. Вместо этого в комплекте с инфицированным приложением пользователю предлагается специальная пошаговая инструкция, позволяющая запустить ОС с полномочиями администратора. В инструкции утверждается, что это якобы необходимо для корректной работы программы или ее обновления. После запуска с администраторскими привилегиями Android.Gongfu получает возможность встраиваться в системные процессы Android, включая процессы, критичные для стабильной работы ОС. Троянец способен не только передавать злоумышленникам информацию об инфицированном устройстве и выполнять поступающие от удаленного узла команды, но также загружать и устанавливать в ОС другие приложения без ведома пользователя.

Помимо этого, специализирующиеся на мобильных платформах вирусописатели стали использовать новую психологическую уловку для распространения вредоносного ПО, а именно — озабоченность пользователей вопросами безопасности. С помощью различных систем отображения рекламы злоумышленники демонстрируют пользователю сообщение с предложением срочной проверки мобильного устройства на вирусы. Нажав на это рекламное сообщение, пользователь попадает на сайт, якобы сканирующий мобильное устройство. Этот сайт заимствует одну из иконок Dr.Web Security Space версии 7.0 и внешнее оформление программы. Однако сымитировав пользовательский интерфейс, злоумышленники ошиблись в деталях: фальшивый «антивирус» находит на мобильном устройстве несуществующие угрозы, например, вредоносную программу Trojan.Carberp.60, относящуюся к категории банковских троянцев для Windows, мобильной версии которого в настоящее время не существует. Если пользователь соглашается «обезвредить» угрозу, на его устройство скачивается троянец семейства Android.SmsSend.

Все эти угрозы успешно детектируются и обезвреживаются антивирусным программным обеспечением Dr.Web, но пользователям все же рекомендуется проявлять осмотрительность и не запускать программы, полученные из неблагонадежных источников.

Вредоносные файлы, обнаруженные в почтовом трафике в апреле

01.04.2012 00:00 - 30.04.2012 23:00
1	Trojan.Fraudster.261	1.30%
2	SCRIPT.Virus	1.11%
3	Trojan.Fraudster.256	0.92%
4	Trojan.Carberp.30	0.76%
5	Trojan.Fraudster.252	0.70%
6	Trojan.Mayachok.1	0.67%
7	Win32.HLLW.Shadow	0.67%
8	Win32.HLLW.Shadow.based	0.65%
9	JS.IFrame.233	0.61%
10	Tool.InstallToolbar.74	0.61%
11	Trojan.SMSSend.2726	0.59%
12	JS.Siggen.192	0.59%
13	Trojan.Fraudster.292	0.54%
14	Adware.Predictad.1	0.53%
15	Win32.HLLW.Autoruner.59834	0.53%
16	Trojan.SMSSend.2669	0.49%
17	BackDoor.Ddoser.131	0.49%
18	Trojan.Carberp.29	0.48%
19	Adware.Downware.179	0.47%
20	Win32.HLLW.Autoruner.5555	0.47%

Вредоносные файлы, обнаруженные в апреле на компьютерах пользователей

01.04.2012 00:00 - 30.04.2012 23:00
1	SCRIPT.Virus	0.97%
2	Trojan.Fraudster.261	0.97%
3	Trojan.Fraudster.256	0.75%
4	Trojan.SMSSend.2726	0.67%
5	JS.Siggen.192	0.65%
6	Trojan.Fraudster.292	0.63%
7	Trojan.Mayachok.1	0.61%
8	Trojan.Carberp.30	0.59%
9	Win32.HLLW.Shadow.based	0.55%
10	Trojan.SMSSend.2704	0.55%
11	Trojan.Fraudster.252	0.53%
12	Win32.HLLW.Shadow	0.53%
13	Tool.InstallToolbar.74	0.51%
14	Adware.Predictad.1	0.49%
15	Win32.HLLW.Autoruner.59834	0.49%
16	Tool.Unwanted.JS.SMSFraud.10	0.47%
17	Trojan.SMSSend.2669	0.47%
18	JS.IFrame.233	0.47%
19	Adware.Downware.179	0.45%
20	BackDoor.Ddoser.131	0.45%

Конкурс на обнаружение вредоносного ПО для студентов МГУ: вирусы обезврежены!

Wed, 02 May 2012 15:54:43 GMT

2 мая 2012 года

28 апреля 2012 года в рамках «Недели Карьеры МГУ» компания «Доктор Веб» успешно провела конкурс на обнаружение и обезвреживание вредоносного ПО. В мероприятии приняли участие более 30 студентов МГУ, которые показали высокий уровень знаний в области информационной безопасности. Лучшие из лучших получили ценные подарки от «Доктор Веб».

Конкурс проходил на базе факультета вычислительной математики и кибернетики Московского государственного университета М. В. Ломоносова рядом с суперкомпьютером «Ломоносов» — одним из самых мощных в России. Со вступительной речью на официальном открытии конкурса выступил генеральный директор компании «Доктор Веб» Борис Шаров, пожелавший участникам удачи в предстоящем соревновании.

Победителями конкурса стали студенты, которые наиболее быстро и качественно справились с обнаружением и обезвреживание вредоносного ПО. Ценные призы от «Доктор Веб» получили: Андрей Заспа, Иван Чеглаков, Виктор Милованов, Лидия Кушнарёва, Максим Андреев, Даниил Слюсарь, Михаил Григорьев, Мария Кортунова, Искандер Ярмухаметов, Филипп Филиппов, Юрий Жайворонок, Искандер Ахмадулин. Всего в конкурсе приняли участие более 30 студентов и 11 команд.

Члены команд, занявших первые три места по итогам командного конкурса, получили смартфоны с установленным Dr.Web для Android, MP3-плееры и веб-камеры с логотипом Dr.Web. Победители индивидуального этапа были награждены планшетом HTC Flyer с Dr.Web для Android, жестким диском на 500 ГБ, Bluetooth-наушниками, Dr.Web Security Space Pro (2 ПК / 1 год) и сувенирами Dr.Web.

Если вас заинтересовало мероприятие и вы хотели бы организовать аналогичный конкурс в своем вузе, пишите нам на почтовый адрес: education@drweb.com.

Желаем вам удачи и ждем на следующих конкурсах «Доктор Веб»!

«Доктор Веб» представляет утилиту для дешифрования файлов, пострадавших от Trojan.Matsnu.1

Sat, 28 Apr 2012 00:00:00 GMT

28 апреля 2012 года

26 апреля 2012 года компания «Доктор Веб» проинформировала пользователей о распространении массовой почтовой рассылки, содержащей опасное вложение, запуск которого приводит к шифрованию пользовательских файлов. Сегодня специалисты компании подготовили специальную утилиту, с помощью которой пользователи смогут самостоятельно расшифровать поврежденные троянцем файлы. Утилита доступна для бесплатного скачивания.

Рассылаемое злоумышленниками письмо написано на немецком языке и имеет заголовок, включающий имя адресата. Послание содержит вложенный zip-архив с именем Abrechnung или Rechnung. Попытка запустить вложенную в эти архивы программу приводит к тому, что все файлы на дисках компьютера жертвы будут зашифрованы.

Опасность для пользователей в данном случае представляет вредоносная программа, получившая имя Trojan.Matsnu.1. За истекшие сутки в службе технической поддержки компании «Доктор Веб» было зафиксировано более 50 обращений от лиц, пострадавших в результате действий данного троянца, — в основном, жителей Германии.

Специалисты компании «Доктор Веб» в кратчайшие сроки проанализировали вредоносную программу Trojan.Matsnu.1 и разработали специальную утилиту, позволяющую расшифровать пользовательские данные. Эту утилиту можно бесплатно скачать по адресу ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe. Если расшифровать файлы с использованием данной утилиты не удалось либо данный процесс завершился с ошибками, вы можете обратиться за помощью в антивирусную лабораторию компании «Доктор Веб», создав тикет в категории «Запрос на лечение». Эта услуга бесплатна.

Результаты исследования объектов, загружаемых BackDoor.Flashback на зараженные «маки»

Fri, 27 Apr 2012 17:50:36 GMT

27 апреля 2012 года

Специалисты компании «Доктор Веб» — российского разработчика средств информационной безопасности — продолжают исследования первого в истории крупномасштабного ботнета, созданного злоумышленниками с использованием троянской программы BackDoor.Flashback для компьютеров, работающих под управлением операционной системы Mac OS X. Одним из предметов наиболее пристального изучения стали объекты, которые троянец загружает с принадлежащих злоумышленникам командных серверов и запускает на инфицированном компьютере.

Напомним, что троянец BackDoor.Flashback.39, используя уязвимости Java, сохраняет на жесткий диск Apple-совместимого компьютера исполняемый файл и специальный файл, отвечающий за запуск приложения. После этого используется сервис launchd, которому передается сохраненный на диске конфигурационный файл, что позволяет запустить троянца без участия пользователя. Затем BackDoor.Flashback.39 соединяется с управляющим сервером, загружает на инфицированную машину исполняемый файл, и устанавливает его в системе. В этот момент троянец демонстрирует на экране «мака» диалоговое окно для ввода пароля администратора. Если пользователь указывает этот пароль, вредоносная программа запускается с повышенными привилегиями, однако даже если пароль не будет введен, троянец сохраняется в «домашнюю» папку пользователя и запускается с использованием полномочий его учетной записи. Пользовательских прав в операционной системе ему вполне достаточно для того, чтобы реализовать свой вредоносный потенциал.

В дальнейшем загружаемым на диск вредоносным приложением используется два типа управляющих серверов. Первая категория командных центров реализует функции перехвата поискового трафика, перенаправления пользователя на контролируемые злоумышленниками сайты в процессе веб-серфинга и некоторые другие действия. Вторая группа позволяет отдавать ботам различные команды, реализующие на инфицированной машине функции бэкдора. Специалистам компании «Доктор Веб» удалось перехватить используемые полезной нагрузкой троянца BackDoor.Flashback домены управляющих серверов и произвести анализ обращений к ним ботов.

Первая категория доменов управляющих серверов генерируется троянцем на основе заложенного в его конфигурационных данных списка, в дополнение к ним формируется еще один перечень доменов, имена которых зависят от текущей даты. При этом сформированное вредоносной программой имя домена второго уровня одинаковое, в то время как в качестве домена верхнего уровня используются различные варианты, такие как .org, .com, .co.uk, .cn, .in. Все управляющие серверы опрашиваются троянцем по очереди в порядке составленного списка, при этом командному центру передается GET-запрос /owncheck/ или /scheck/, содержащий в поле useragent значение UUID инфицированного «мака». Если в ответ троянец получит подписанное значение SHA1 от имени домена, то такой домен будет считаться доверенным и в дальнейшем будет использоваться в качестве командного сервера. Первые домены из этой категории были успешно перехвачены компанией «Доктор Веб» начиная с 12 апреля 2012 года.

20|i386|9.8.0|4DE360BE-E79E-5AD6-91CF-D943761B3785|6bbbbfb49b1659ebaaadffa20215bfc787577bd8|001|007|0

Где:
1 — версия бота
2 — архитектура (hw.machine)
3 — версия ядра (kern.osrelease)
4 — Hardware UUID
5 — SHA1 от файла полезной нагрузки
6 — битовая маска наличия дополнительных браузеров
7 — константа
8 — значение, указывающее на привилегии, с которыми запущен бот: 0 — обычный пользователь, 1 — привилегированный пользователь.

Если управляющий сервер не вернет правильный ответ, троянец формирует на основе текущей даты строку, которую использует в качестве хеш-тега для поиска по адресу http://mobile.twitter.com/searches?q=#<строка>. Например, для даты 13.04.2012 некоторые версии троянца генерируют строку вида «rgdgkpshxeoa» (у иных версий бота строка может отличаться). Если в Twitter удается обнаружить сообщение, содержащее метки bumpbegin и endbump, между которыми содержится адрес управляющего сервера, он будет использован в качестве имени домена. Перехват доменов этой категории компания «Доктор Веб» начала 13 апреля, однако уже на следующий день, в субботу 14 апреля, зарегистрированная специалистами «Доктор Веб» учетная запись в Twitter была заблокирована.

По данным на 13 апреля 2012 года, на управляющие домены первой группы в течение суток поступило 30 549 запросов с уникальными UUID, на домены второй категории — 28 284 запросов с уникальными UUID за аналогичный промежуток времени. Общее количество запросов с уникальными UUID, отправленных на управляющие серверы полезной нагрузки ботнета BackDoor.Flashback, в период с 12 по 26 апреля 2012 года составило 95 563. Другие статистические данные, полученные в результате суточного анализа обращений полезной нагрузки ботнета BackDoor.Flashback к управляющим серверам за 13 апреля 2012 года, показаны на представленных ниже графиках.

Обновлены Антивирус Dr.Web для Mac OS X и Dr.Web для файловых серверов Mac OS X Server

Fri, 27 Apr 2012 00:00:00 GMT

27 апреля 2012 года

Компания «Доктор Веб» сообщает о выходе версии 6.0.3 продуктов Антивирус Dr.Web для Mac OS X и Антивирус Dr.Web для файловых серверов Mac OS X Server. В обновленные сборки включены антивирусное ядро Dr.Web Virus Finding Engine и вирусные базы версии 7.0, добавлена поддержка многопоточного сканирования и другие улучшения, повысились надежность и стабильность работы программ.

В антивирусном ядре Dr.Web Virus Finding Engine 7.0 реализованы новые технологии для обнаружения вредоносного ПО, такие как анализ структурной энтропии файлов и ScriptHeuristic, позволяющая искать и анализировать угрозы в документах HTML и PDF. Другое ключевое преимущество нового ядра – многократное увеличение скорости сканирования. Проверка по вирусным базам теперь выполняется с учетом синтаксиса языка JavaScript.

Приложения версии 6.0.3 поддерживают многопоточное сканирование, что также значительно увеличивает скорость проверки на вирусы. Процедура лечения при нейтрализации активных угроз включает остановку вредоносного процесса и удаление файла, необходимого для его автозапуска. Кроме того, антивирус умеет обезвреживать вредоносное ПО, обходящее ограничения системы на доступ к файлам. Удаление, перемещение и восстановление файлов в Карантине теперь происходит быстрее. Появилась возможность исключать почтовые файлы из перечня проверяемых объектов. Благодаря устранению выявленных недочетов, установщик работает стабильнее. Файловый монитор Dr.Web SpIDer Guard потребляет меньше системных ресурсов. Кроме того, программа оповещает пользователя о доступности новой версии. Оптимизация архитектуры приложений позволила повысить стабильность работы продуктов.

Чтобы обновить Антивирус Dr.Web для Mac OS X и Антивирус Dr.Web для файловых серверов Mac OS X Server до версии 6.0.3, необходимо скачать соответствующий дистрибутив с сайта и установить приложение поверх существующей установки или предварительно удалив предыдущую версию.

Уведомление об обновлении антивирусного ядра в продуктах Dr.Web с централизованным управлением

Fri, 27 Apr 2012 00:00:00 GMT

27 апреля 2012 года

Компания «Доктор Веб» анонсирует обновление антивирусного ядра в продуктах Dr.Web Desktop Security Suite и Dr.Web Server Security Suite с возможностью централизованного управления, которое состоится 15 мая 2012 года. Обновление произойдет автоматически для всех пользователей серверов версии 6.0.3 и 6.0.2. Поскольку в версиях, предшествующих 6.0.2, антивирусное ядро Dr.Web Virus Finding Engine обновляться не будет, компания «Доктор Веб» призывает пользователей в обязательном порядке установить обновления серверного ПО.

Антивирусное ядро Dr.Web Virus Finding Engine версии 7.0 позволяет существенно повысить скорость сканирования, кроме того, в нем реализована функция динамического выделения оперативной памяти в зависимости от производительности системы и запущенных в Windows задач. В эвристическом анализаторе нового антивирусного ядра применена технология ScriptHeuristic, позволяющая осуществлять поиск и анализ угроз в документах HTML и PDF. Благодаря этой технологии стало возможным извлечение и обработка скрытых IFRAME-элементов, проверка по вирусным базам теперь выполняется с учетом синтаксиса языка JavaScript.

Обновление антивирусного ядра Dr.Web Virus Finding Engine будет выпущено 15 мая 2012 года и произойдет автоматически. Пользователям серверов Dr.Web Enterprise Security Suite ранних версий следует выполнить обновление до версии 6.0.3. Также следует выполнить обновление до актуальной версии пользователям Dr.Web Enterprise Агент для Novell NetWare, пользователям Антивируса Dr.Web для Linux, Dr.Web для файловых серверов UNIX, Dr.Web для почтовых серверов UNIX, Dr.Web для интернет–шлюзов Unix, Dr.Web для Novell Storage Services, Dr.Web для файловых серверов Mac OS X Server и Антивируса Dr.Web для Mac OS X, если они работают в режиме централизованного управления - это позволит избежать потенциально возможных проблем с совместимостью.

Внимание! Опасный троянец в почтовом спаме!

Thu, 26 Apr 2012 18:04:32 GMT

26 апреля 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает западных пользователей о появлении вредоносного спама, с помощью которого распространяется программа-шифровальщик Trojan.Encoder.

В течение последних суток в службу технической поддержки компании «Доктор Веб» участились обращения проживающих в западноевропейских странах пользователей (в основном, жителей Германии), получивших по электронной почте сообщения спам-рассылки с заголовком, включающим имя адресата и следующим содержанием:

Sehr geehrte(r) Ute Lautensack,
Sie haben sich für unseren Mail Upgrade eingetragen und wir freuen uns Sie als unseren frischen Teilnehmer zu begrüssen Sie können jetzt bis zu 500 Mitteilungen pro Monat frei versenden und Ihr Speicherplatz erhöht sich um 5 Gb.

433,29 Euro für Registration werden Ihnen pro 12 Monate im Vorraus von Ihrem Bankkonto abgeschrieben. Entnehmen Sie die Rechnungsdaten bitte dem Anhang, dort finden Sie auch die Erläuterung für Ihre 2 Wochen Kündigungsfrist.

Mit freudlichen Grüssen
Ihr Kundenservice

Во вложениях были замечены архивы с именами Abrechnung или Rechnung. После запуска содержащейся в таком вложении программы файлы на компьютере становятся зашифрованными.

Компания «Доктор Веб» предупреждает: ни в коем случае не открывайте вложений в подобных сообщениях электронной почты! Если же вы все-таки стали жертвой этого троянца, во избежание потери ценной информации воспользуйтесь следующими рекомендациями:

обратитесь с соответствующим заявлением в полицию;
ни в коем случае не пытайтесь переустановить операционную систему;
не удаляйте никаких файлов на вашем компьютере;
не пытайтесь восстановить зашифрованные файлы самостоятельно;
обратитесь в антивирусную лабораторию компании «Доктор Веб», создав тикет в категории «Запрос на лечение». Эта услуга бесплатна;
к тикету приложите зашифрованный троянцем файл;
дождитесь ответа вирусного аналитика. В связи с большим количеством запросов это может занять некоторое время.