Trojan.Encoder.6491, написанный на языке Go, требует выкуп в биткоинах

Эксперты компании «Доктор Веб» обнаружили первого шифровальщика, написанного на языке Go — Trojan.Encoder.6491.

Trojan.Encoder.6491 при запуске устанавливает себя в систему под именем Windows_Security.exe. Затем троянец начинает шифровать хранящиеся на дисках файлы с помощью алгоритма AES. В процессе работы вредонос пропускает файлы, в имени которых содержатся следующие строки: tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, Recycle.Bin, System Volume Information, Boot, Windows, .enc, Instructions и Windows_Security.exe.

Троянец шифрует файлы 140 различных типов, определяя их по расширению. Trojan.Encoder.6491 кодирует оригинальные имена файлов методом Base64, а затем присваивает зашифрованным файлам расширение .enc. Затем шифровальщик открывает в окне браузера файл Instructions.html с требованием выкупа в криптовалюте Bitcoin.

«Умный» Trojan.Encoder.6491 с определенным интервалом проверяет баланс Bitcoin-кошелька, на который жертва должна перевести средства. Зафиксировав денежный перевод, троянец автоматически расшифровывает все закодированные ранее файлы с использованием встроенной функции.

Поделиться с друзьями
ASTERA