Компания «Доктор Веб» сообщила об обнаружении первой вредоносной программы с функциями шифрования файлов, написанной на языке Go.
Go — это компилируемый, многопоточный язык программирования, разработанный поисковым гигантом Google. Go проектировался как язык системного программирования для создания высокоэффективных программ, работающих на современных распределённых системах и многоядерных процессорах.
Новый шифровальщик на языке Go получил имя Trojan.Encoder.6491. При запуске зловред устанавливает себя в систему под именем Windows_Security.exe. Затем троян начинает шифровать хранящиеся на дисках файлы с помощью алгоритма AES. В процессе работы вредоносная программа пропускает файлы, в имени которых содержатся следующие строки:
В общей сложности вредоносная программа способна кодировать файлы 140 форматов. Зашифрованным файлам присваивается расширение .enc. После выполнения этой процедуры зловред открывает в окне браузера файл Instructions.html с требованием выкупа в криптовалюте Bitcoin.
Примечательно, что троян с определённым интервалом проверяет баланс Bitcoin-кошелька, на который жертва должна перевести средства. Зафиксировав денежный перевод, энкодер автоматически расшифровывает все зашифрованные ранее файлы с использованием встроенной функции.
Впрочем, специалисты компании «Доктор Веб» уже разработали специальную методику, позволяющую расшифровывать закодированные трояном файлы без уплаты выкупа. Инструкции как это сделать, доступны здесь.
Источник:
