«Лаборатория Касперского» выпустила бесплатный инструмент RannohDecryptor, при помощи которого жертвы опасного шифровальщика Polyglot смогут вернуть доступ к закодированным файлам.
Зловред Polyglot появился в конце августа. Программа распространяется в спам-письмах, которые содержат вредоносный исполняемый файл, упакованный в RAR-архив. После запуска у пользователя создаётся впечатление, что ничего не произошло. Однако на деле Polyglot копирует себя под случайными именами в десяток мест и прописывается в автозапуске.
После внедрения в систему начинается шифрование. Внешне закодированные пользовательские файлы не меняются, поскольку их имена остаются оригинальными. Однако открыть такие файлы уже не удастся.
Закончив шифрование, зловред меняет заставку рабочего стола и выводит окно с требованиями выкупа. При этом пользователю предлагается бесплатно расшифровать несколько файлов — тем самым демонстрируется возможность восстановления доступа к данным. Вместе с тем, если оплата не производится в срок, указанный злоумышленниками, зловред оставляет файлы зашифрованными и самоудаляется с заражённого устройства.
Любопытно, что новый шифровальщик очень похож на давно известный CTB-Locker. Несмотря на то, что общего кода в двух программах не обнаружилось, Polyglot повторяет CTB-Locker буквально во всем.
Анализ, проведённый специалистами «Лаборатории Касперского», показал, что Polyglot использует весьма нестойкий алгоритм генерации ключа. Благодаря этому стало возможным быстро подобрать ключ методом перебора и создать инструмент, помогающий жертвам зловреда восстановить зашифрованные файлы.
Источник:
