Le 13 août 2013

Doctor Web est le premier éditeur antivirus à avoir développé un utilitaire pour traiter les dommages causés par l’action du Trojan.Encoder.252. La nouvelle version du Trojan de la famille des Trojans.Encoder crypte les données de l'utilisateur puis lui extorque de l'argent pour les décrypter.

L'un des moyens de propagation de ce Trojan est le spam avec une pièce jointe. Après son lancement, il crée une copie de lui-même dans l'un des dossiers système sous le nom svhost.exe et modifie la branche du Registre Windows responsable du lancement automatique des applications.

Le Trojan.Encoder.252 crypte les fichiers uniquement si l'ordinateur infecté est connecté à Internet. Il analyse tous les disques de C: jusqu'à N:, crée une liste de fichiers avec leurs extensions et la sauvegarde dans un fichier texte. Puis le Trojan.Encoder.252 vérifie la disponibilité de ses serveurs sur lesquels une clé de chiffrement sera envoyée. Si les serveurs ne sont pas disponibles, le Trojan affiche un message qui propose de vérifier les paramètres de connexion Internet. Si le chiffrement a réussi, le mot « Crypted » est ajouté aux noms de fichiers et le fond d’écran du bureau est remplacé par une autre image.

De plus, un fichier .txt apparaît sur l'ordinateur de la victime, qui inclut l'ID, unique pour chaque ordinateur, pour le décryptage des fichiers.

Malgré l’apparente impossibilité de déchiffrer les fichiers à cause des particularités des algorithmes de chiffrement utilisés par le Trojan.Encoder.252, les spécialistes de Doctor Web ont développé un utilitaire qui peut résoudre ce problème. Le bémol est que pour obtenir la clé de déchiffrement, il faut posséder un ordinateur avec une configuration très performante : sur les ordinateurs ordinaires, cette procédure peut durer environ un mois, mais sur un serveur doté de 24 cœurs, on a établi un record : la clé a été trouvée en 20 heures. Cet utilitaire constitue une base pour le développement de nombreuses idées novatrices des analystes de Doctor Web qui seront utilisées dans l'avenir pour décrypter les fichiers. Les spécialistes de Doctor Web continuent leurs recherches dans ce domaine.

Si vous êtes victime du Trojan.Encoder.252, suivez ces quelques règles :

• ne changez pas l'extension des fichiers cryptés ;
• ne réinstallez pas le système d'exploitation - dans ce cas il sera impossible de restaurer les fichiers ;
• n'essayez pas de «nettoyer» ou de traiter le système d'exploitation en utilisant des utilitaires et des applications spéciales ;
• ne lancez pas l'utilitaire Dr.Web vous même, sans consultation du support technique ;
• portez plainte;
• contactez le Laboratoire antivirus de Doctor Web en envoyant un fichier DOC crypté par le Trojan et attendez la réponse d’un spécialiste.

N'oubliez pas qu'à cause du grand nombre d'infections, seuls les utilisateurs légaux de Dr.Web peuvent recevoir une assistance personnelle. Les spécialistes de Doctor Web conseillent de faire des sauvegardes des données stockées sur l'ordinateur.