13 марта аналитиками ЛК была обнаружена новая модификация троянца Cryzip Trojan-Ransom.Win32.Cryzip.c. Эта вредоносная программа упаковывает файлы пользователя в запароленные zip-архивы.

Заражение зловредом осуществляется через сайты, содержащие контент для взрослых. Попав на компьютер, троянец начинает поиск по нескольким десяткам популярных расширений, в том числе .rar, .zip, .7z, .pdf, .djvu, .txt, .xls, .xlsx, .rtf, .doc .docx, .htm, .html, .mht, .jpg, .jpeg и другим. Для каждого найденного файла создается архив <имя_оригинального_файла>_crypt_.rar, затем оригинал удаляется без возможности восстановления. Разархивировать файлы можно с помощью специальной программы, созданной авторами зловреда. За пароль от нее злоумышленники требуют 2000 рублей. Программа выложена на файлообменных серверах. Для ее активации необходимо ввести код, который будет получен в переписке с авторами зловреда после произведения оплаты. Адрес и способ оплаты указываются в письме.

За последние полгода количество вредоносных программ-вымогателей значительно возросло, причем появилась тенденция к их глобальному распространению. Программы, подобные Cryzip, перестали быть национальной проблемой. Если прежде 90% жертв подобных зловредов составляли российские пользователи, то сейчас атакам подвергаются пользователи в 143 странах мира. На прошедшей неделе 23% заражений пришлось на зарубежные страны, в числе которых оказались Англия, Франция, Италия, Испания, Португалия, Польша, США, Мексика, Египет, Саудовская Аравия, Индия и Япония.

По нашим данным, случаи заражения Cryzip были зафиксированы не только в России, но и в Казахстане, Латвии, Польше, Республике Молдова, Египте, во Франции, Индии, Италии, Мексике, Саудовской Аравии, Испании, США, на Украине, а также в других странах.

Для предотвращения заражения пользователям продуктов «Лаборатории Касперского» рекомендуется обновить антивирусные базы.

В помощь тем, чьи компьютеры уже заражены зловредом, специалистами «Лаборатории Касперского» разработали генератор паролей для расшифровки архивов.

Для получения пароля в первое поле необходимо ввести cryzip, а в поле «Текст сообщения» — идентификатор (ID), записанный в файле auto_rar_report.txt, где вредоносная программа генерирует инструкцию «Как вернуть ваши файлы»:

Текст сообщения автоматически генерируемого троянцем: