Le 21 janvier 2015

Doctor Web alerte les utilisateurs sur l'envoi de spam contenant des logiciels malveillants « downloader » dangereux. Leur but principal est de télécharger et de lancer le Trojan.Encoder.686, qui représente une menace dangereuse, car il est actuellement impossible de décrypter les fichiers touchés par ce malware.

Le Trojan downloader qui télécharge le Trojan.Encoder.686, ajouté à la base virale Dr.Web sous le nom Trojan.DownLoad3.35539, a été distribué via le spam dans une archive ZIP en pièce jointe d’emails. Les spécialistes de Doctor Web ont découvert que ces messages étaient en plusieurs langues, notamment anglais, allemand et même géorgien.

Cette archive contient le fichier .SCR— c'est un type de fichiers qui contient des écrans de veille Windows. Ce sont des fichiers exécutables. Lors de son lancement, le Trojan.DownLoad3.35539 extrait de son corps, enregistre sur le disque et ouvre sur l'écran de l'ordinateur infecté un fichier texte en RTF.

Dans le même temps, il établit une connexion avec le serveur des malfaiteurs, pour y téléchargerune archive contenant le Trojan.Encoder.686, connu également sous le nom CTB-Locker, puis décompresse et lance son fichier exécutable. Après son lancement sur l'ordinateur infecté, Trojan.Encoder.686 crypte les fichiers de l'utilisateur, puis affiche sur l'écran un message spécialement conçu par les malfaiteurs.

Ce message donne 96 heures aux victimes pour payer le décryptage des fichiers, sous peine d’endommagement de ces fichiers. Pour en savoir plus sur les conditions et le montant à payer pour le décryptage, les malfaiteurs invitent les utilisateurs à visiter un site situé dans le réseau TOR anonyme.

Trojan.Encoder.686 se compose des bibliothèques TOR et OpenSSL pour la cryptographie. Lors du cryptage, le Trojan utilise CryptoAPI pour générer des données aléatoires ainsi que la cryptographie elliptique, ce qui rend le décryptage impossible pour le moment.

La société Doctor Web conseille aux utilisateurs d'être vigilants et de ne pas ouvrir les pièces jointes des messages provenant d’expéditeurs inconnus, ainsi que de créer des sauvegardes des données importantes.

Nous rappelons également que Dr.Web Security Space (en versions 9 et 10) permet de configurer la création de sauvegardes de données, ainsi que de protéger l'ordinateur contre les Trojan Encoders et d'autres menaces.

Pour éviter la perte de données suivez les instructions suivantes :

1. Assurez-vous que la « Protection préventive » qui protège votre PC contre les menaces inconnues de la base virale Dr.Web est activée dans les paramètres de Dr.Web Security Space (en versions 9 et 10).

   

2. Puis activez la " Prévention de la perte de données " dans la section " Outils " et configurez le stockage des fichiers importants.

   

3. Créez une sauvegarde automatique de vos données en indiquant l'horaire de leur création.

   

Ces mesures, avec une certaine prudence lors du traitement de la messagerie, permettront de protéger votre système d'exploitation contre les menaces actuelles, y compris les Trojans Encoders.

Protégez vos fichiers contre l'endommagement par des Trojans en utilisant la Prévention de la perte de données

Disponible uniquement dans Dr.Web Security Space en versions 9 et 10

Plus d'infos sur les Encoders

Présentations sur la configuration

Décryptage gratuit de données