Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Revenir vers la liste d'actualités

Doctor Web a détecté le premier Trojan.Encoder écrit en langage Go et a mis au point la procédure de déchiffrement

le 11 octobre 2016

Les analystes de Doctor Web ont examiné un nouveau Trojan Encoder écrit en langage Go. Ce Trojan qui donne aux fichiers chiffrés l'extension .enc a reçu le nom Trojan.Encoder.6491. Les spécialistes de Doctor Web ont mis au point une technologie permettant de déchiffrer les fichiers endommagés par ce malware.

De nouvelles versions de Trojans Encoders apparaissent tous les mois . Trojan.Encoder.6491 est intéressant car il est écrit dans le langage de programmation Go développé par Google : auparavant, les analystes n’avaient jamais vu d’encodeurs créés en utilisant cette technologie. A son lancement, Trojan.Encoder.6491 s’installe dans le système sous le nom de Windows_Security.exe. Puis le Trojan se met à chiffrer les fichiers se trouvant sur les disques avec l'algorithme AES. Lors de son fonctionnement, le programme malveillant laisse passer les fichiers dont les noms contiennent les chaînes suivantes :

tmp
winnt
Application Data
AppData
Program Files (x86)
Program Files
temp
thumbs.db
Recycle.Bin
System Volume Information
Boot
Windows
.enc
Instructions
Windows_Security.exe

Le Trojan chiffre 140 différents types de fichiers, en déterminant le type selon l'extension. Trojan.Encoder.6491 chiffre les noms originaux des fichiers en utilisant la méthode Base64 puis il assigne aux fichiers chiffrés l'extension .enc. Ainsi, par exemple, un fichier portant le nom Test_file.avi recevra le nom VGVzdF9maWxlLmF2aQ.enc.

Puis l'encodeur ouvre dans une fenêtre du navigateur le fichier Instructions.html affichant une demande de rançon en crypto-monnaie Bitcoin :

screen Trojan.Encoder.6491 #drweb

Il convient de noter que le Trojan.Encoder.6491 vérifie le solde du portefeuille Bitcoin sur lequel la victime doit transférer l'argent à intervalles réguliers. Dés que le virement de la rançon a été constaté, l'encodeur déchiffre automatiquement tous les fichiers précédemment chiffrés en utilisant une fonctionnalité embarquée.

Les spécialistes de Doctor Web ont développé une technique spéciale qui permet de déchiffrer les fichiers touchés par ce Trojan. Si vous êtes victime du Trojan.Encoder.6491, suivez les instructions suivantes :

  • déposez une plainte à la police ;
  • n'essayez pas de réinstaller le système d'exploitation, de l'optimiser ni de le nettoyer à l'aide d’utilitaires ;
  • ne supprimez pas de fichiers sur votre ordinateur ;
  • n'essayez pas de restaurer les fichiers cryptés vous-même ;
  • Contactez le support technique de Doctor Web (ce service est gratuit pour les utilisateurs de licences commerciales Dr.Web) ;
  • joignez à votre demande tout fichier crypté par le Trojan ;
  • attendez la réponse du support technique ; en raison du nombre élevé de requêtes, cela peut prendre du temps.

Les services de déchiffrement sont gratuits uniquement pour les utilisateurs des produits commerciaux Dr.Web. Doctor Web. ne garantit pas le déchiffrement de tous les fichiers touchés par l'encoder, mais nos spécialistes feront tout leur possible pour restaurer les données.

Protégez vos fichiers contre l'endommagement par des Trojans en utilisant la Prévention de la perte de données

Plus d'infos sur les Encoders Présentations sur la configuration Décryptage gratuit de données Rubrique " Tout chiffrer "

Votre avis nous intéresse

Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments