マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話

お問い合わせ履歴

電話(英語)

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Doctor Web、ファイルを復号化することのできないトロイの木馬を検出

2018年4月16日

株式会社Doctor Web Pacific


Doctor Webのスペシャリストによって、新たな暗号化トロイの木馬についての分析が行われました。このエンコーダによって暗号化されたファイルは、サイバー犯罪者によるエラーのため、多くの場合、復元することができません。

この新たな暗号化トロイの木馬は Trojan.Encoder.25129 と名付けられました。Dr.Webアンチウイルスの予防的保護は、このトロイの木馬を自動的に DPH:Trojan.Encoder.9 として検出します。起動されると、 Trojan.Encoder.25129 は感染したデバイスのIPアドレスに基づいてユーザーの所在地を確認します。このトロイの木馬は、デバイスがロシア、ベラルーシ、カザフスタンにある場合、またはシステムの言語や地域の設定でロシア語やロシアが設定されている場合にはファイルを暗号化しないよう設計されています。しかしながら、コードのエラーにより、このエンコーダーはIPアドレスの所在地に関係なくすべてのファイルを暗号化します。

Trojan.Encoder.25129 はカレントユーザーのフォルダ、 Windows デスクトップ、 AppDataおよび LocalAppData システムフォルダのコンテンツを暗号化します。暗号化は AES-256-CBC アルゴリズムを使用して行われ、暗号化されたファイルには拡張子「.tron」が付きます。 30,000,000バイト(約28.6MB)を超えるファイルは暗号化されません。暗号化が完了すると、 %ProgramData%\\trig ファイルが作成され、そこに「123」の値が書き込まれます(このファイルがすでに存在している場合、暗号化は行われません)。次に、トロイの木馬はWebサイト iplogger にリクエストを送信します。サイトのアドレスはトロイの木馬本体にハードコードされています。続けて、 Trojan.Encoder.25129 は身代金を要求するウィンドウを表示させます。

Trojan.Encoder.25129 screen #drweb

身代金の要求額は0.007305~0.04ビットコインと、異なります。「HOW TO BUY BITCOIN」ボタンをクリックすると、仮想通貨ビットコインを購入する方法について説明するウィンドウがトロイの木馬によって表示されます。

Trojan.Encoder.25129 screen #drweb

身代金を要求するテキストには、被害者は暗号化されたファイルを復元することができると記載されていますが、コードのエラーにより、多くの場合、復元することは不可能です。

このトロイの木馬は、Dr.Web製品の予防的保護によって検出・削除されます。したがって、Dr.Webユーザーに危害が及ぶことはありません。また、Doctor Webでは、重要なデータのバックアップをタイムリーに取ることをお勧めしています。

データ損失防止を使用してファイルを暗号化ランサムウェアから保護しましょう

暗号化ランサムウェアからの保護設定 (英語) 被害に遭った場合は... 復号化サービス The Anti-virus Times (英語) "Encrypt everything"

Trojan.Encoder.25129の詳細

#Trojan.Encoder #malicious_softwatre #ransom #Trojan

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments