Le 13 mars 2013

Doctor Web alerte les utilisateurs sur la propagation du Trojan-encodeur Trojan.ArchiveLock. La modification du Trojan.ArchiveLock.20 attaque un nombre croissant d’utilisateurs en France et en Espagne.

La société Doctor Web a déjà fait attention aux activités du Trojan-encodeur Trojan.ArchiveLock. Ce malware utilise le logiciel d'archivage WinRAR pour encoder des fichiers. Les cybercriminels utilisent un logiciel permettant de rechercher automatiquement des variantes pour trouver les mots de passe de l'ordinateur de la victime via le protocole RDP. Une fois connecté à l'ordinateur, ils lancent le Trojan. Après avoir pris le contrôle de la machine, Trojan.ArchiveLock.20 copie l’application de cryptage dans un des dossiers système.

Puis le Trojan.ArchiveLock.20 établit une liste de fichiers encodés, efface la corbeille et les copies de sauvegarde des données. L'encodeur lance l'application WinRAR en ligne de commande et compresse les fichiers selon une liste pré-configurée dans une archive SFX protégée par mot de passe. En même temps, les fichiers originaux sont supprimés à l'aide d’un utilitaire spécial, ce qui rend impossible la restauration des objets supprimés.

Le mot de passe peut avoir une longueur supérieure à 50 caractères. Puis le Trojan.ArchiveLock.20 affiche sur l'écran de l'ordinateur infecté un message demandant 5000 USD pour recevoir le mot de passe nécessaire à la décompression des fichiers. Pour le " support technique ", le Trojan propose de s'adresser aux adresses email suivantes:

• sec777999@gmail.com,
• sec222555@gmail.com,
• sec333888@gmail.com,
• sec333888@gmail.com,
• ausec222999@gmail.com,
• sec777999@gmail.com,
• casec222777@gmail.com,
• auidhelp@gmail.com,
• sec777999@gmail.com,
• sec222555@gmail.com,
• sec333888@gmail.com,
• ausec222999@gmail.com,
• casec222777@gmail.com,
• auidhelp@gmail.com,
• usidhelp2@gmail.com,
• frsechelp@gmail.com,
• spainsec1@gmail.com,
• spainsec2@gmail.com.

Aujourd'hui, un grand nombre d'utilisateurs français et espagnols ont été attaqués par ce Trojan : En 48 heures, le support technique de Doctor Web a reçu des dizaines de requêtes, envoyées par les victimes du Trojan.ArchiveLock.20. Malgré le message où les pirates affirment qu’il est impossible de trouver le mot de passe, les analystes de Doctor Web ont déclaré que dans la plupart des cas, la fonction de hachage sha1 permettait de décrypter et restaurer les fichiers.

Les spécialistes de Doctor Web conseillent aux victimes du Trojan.ArchiveLock.20 de ne pas supprimer les fichiers et de ne pas réinstaller le système d'exploitation. Pour décrypter les fichiers archivés par le Trojan, vous pouvez contacter Doctor Web en créant une requête sur le site dans la catégorie " Requête pour nettoyage ". Ce service est gratuit.