Компания ESET обнародовала подробности о вредоносной программе Win32/Filecoder, шифрующей личные файлы пользователя с целью получения выкупа за расшифровку.

Напомним, что в последнее время активность этого трояна-вымогателя резко подскочила. Больше всего от Win32/Filecoder пострадали пользователи из России: на нашу страну приходится 44% обнаружений. Кроме того, значительная доля заражений зафиксирована в Европе, в частности в Германии, Испании, Италии, Польши, Румынии и Чехии.

Сообщается, что для инфицирования компьютера троян использует несколько методик: это скрытая установка с помощью набора эксплойтов, использующих различные программные уязвимости (drive-by download), установка с помощью другой троянской программы, а также вредоносные вложения в электронных письмах. Также была зафиксирована установка FileCoder вручную, c использованием доступа к компьютеру жертвы через службу подключения к удалённому рабочему столу Windows.

Попав на компьютер, троян шифрует найденные файлы, выбирая по расширению те, которые с наибольшей вероятностью представляют для него ценность: как правило, это документы, фотографии, аудиозаписи и различные архивы.

Для шифрования файлов различные модификации FileCoder могут использовать как встроенный функционал самого трояна, так и сторонние легальные программы — например, была отмечена архивация файлов при помощи WinRAR с функцией защиты паролем.

После шифрования или архивации FileCoder избавляется от оригинального файла: иногда он просто удаляется (в таких случаях его нетрудно восстановить программными средствами), но чаще удалённые файлы перезаписываются без возможности восстановления.

Для информирования пользователя о том, что его ПК заражен, а файлы зашифрованы, троян демонстрирует всплывающее окно с подробной информацией о том, как расшифровать файлы. При этом за «чрезвычайно тяжёлую работу по детектированию вируса» от пользователя могут потребовать заплатить в среднем 100–200 евро (или схожую сумму в рублях), но некоторые модификации могут запрашивать до 3000 евро.