Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Trojan-Ransom.Win32.Xorist.j

Trojan-Ransom.Win32.Xorist.j

Время детектирования	17 ноя 2009 13:52 MSK
Время выпуска обновления	30 ноя 2009 20:45 MSK
Описание опубликовано	17 ноя 2009 13:52 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, шифрующая пользовательские файлы. Программа является приложением Windows (PE EXE-файл). Имеет размер 29224 байта. Написана на C++.

Деструктивная активность

После активации троянец производит на всех доступных логических дисках поиск файлов со следующими расширениями:

.docdocx
.xlsxlsx
.key
.mp3
.jpg
.gif
.waw
.cfg
.bmp
.rar
.zip
.psd
.jpeg

Все найденные файлы зашифровываются при помощи xor c ключом 7065A9FEA5F69D4EC276B6AB366A322F.

Далее троянец в корневом каталоге диска С:\ создает файл под именем "Прочти Меня - как расшифровать файлы.txt". После чего данный файл запускается на выполнение. Файл содержит следующие строки:

Semi-sencere apologies! Your files have been encrypted with 256-bit ecryption. For details of the encryption used, see: http://en.wikipedia.org/wiki/Advanced_Encryption_Standart This happend because you were infected with the LoroBot. To recover your files, you must send an email to *****oter@safe-mail.net We have a very quick decryption file, and of course we alone know the encryption key that has been used to encrypt your files. There will be a charge for our decryption software. More details in emai

Лог своей работы троянец сохраняет в корневом каталоге Windows под именем "CryptLogFile.txt":

%WinDir%\CryptLogFile.txt

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

При помощи Диспетчера задач завершить вредоносный процесс.
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan-Ransom

Вредоносная программа, предназначенная для несанкционированной пользователем модификации данных на компьютере-жертве таким образом, чтобы сделать невозможным работу с ними, либо блокировать нормальную работу компьютера. После того, как данные «взяты в заложники» (блокированы), пользователю выдвигается требование выкупа.

Озвученную в требовании сумму жертва должна передать злоумышленнику, после чего злоумышленник обещает выслать программу для восстановления данных или нормальной работоспособности компьютера.

Другие названия

Trojan-Ransom.Win32.Xorist.j («Лаборатория Касперского») также известен как:

Trojan: Ransom!bq (McAfee)
Mal/Generic-A (Sophos)
Trojan:Win32/Gpcode.H (MS(OneCare))
Trojan.Fakealert.8262 (DrWeb)
Win32/Gpcode.NAC trojan (Nod32)
Trojan.Generic.2645122 (BitDef7)
Trojan.Xorist.B (VirusBuster)
Win32:Malware-gen (AVAST)
Trojan-Ransom (Ikarus)
TR/Ransom.Xorist.J (AVIRA)
Infostealer (NAV)
Trojan-Ransom.Win32.Xorist.j [AVP] (FSecure)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com