Le 29 mai 2012

Doctor Web informe les utilisateurs d’une propagation importante de spam malveillant : l’utilisateur reçoit un message soi-disant envoyé par la banque Sberbank, qui contient un lien vers une archive contenant un trojan encoder. Si l'utilisateur ouvre le fichier, tous les fichiers sur son PC seront codés.

Le nom de l’expéditeur du courriel contient le nom du système de e-banking de la banque, "Sberbank en ligne", le sujet du message alertant le client d’une soi-disant augmentation de son découvert. Le message dit que le délai d’autorisation de découvert a été dépassé et le lien dans le message doit soi-disant permettre à l’utilisateur de voir les détails de ses dépenses.

Si l’utilisateur clique sur le lien, l'archive RAR ou ZIP avec un fichier .SCR, ou un fichier .SCR seul, est téléchargé sur le PC. Suite à l'ouverture du fichier, le trojan code tous les fichiers sur le PC et affiche un message disant que "tous les fichiers sur le PC sont codés, si vous ne nous croyez pas, essayez d'ouvrir un des fichiers au choix, pour obtenir l'accès à tous les fichiers veuillez envoyer un email à l’adresse suivante…"

Ce programme malveillant est facilement détecté par le logiciel Dr.Web. Si les fichiers sont déjà codés par le trojan, veuillez suivre les conseils de Doctor Web :

• Adressez-vous à la police;
• Ne désinstallez en aucun cas l’OS ;
• Ne supprimez aucun fichier sur votre PC;
• Ne cherchez pas à restaurer les fichiers vous-même ;
• Envoyez un fichier suspect au au support technique de Doctor Web.
• Joignez un fichier .doc ou .txt codé par le trojan à votre requête au support ;
• Veuillez attendre la réponse d’un analyste viral. Cela peut prendre un certain temps à cause du nombre de demandes.