Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Cryptolocker rilevato da Doctor Web non può decriptare file

16 aprile 2018

Gli specialisti Doctor Web hanno esaminato un nuovo trojan cryptolocker. A causa di un errore degli autori di virus il ripristino di file danneggiati da questo cryptolocker è impossibile nella maggior parte dei casi.

Il nuovo trojan cryptolocker è stato denominato Trojan.Encoder.25129. La Protezione preventiva di Antivirus Dr.Web rileva automaticamente questo trojan sotto il nome DPH:Trojan.Encoder.9. Dopo l'avvio esso controlla la posizione geografica dell'utente in base all'indirizzo IP del dispositivo infetto. Secondo l'idea malintenzionati, il trojan non dovrebbe cifrare file se l'indirizzo IP è locato in Russia, Bielorussia o Kazakistan, e inoltre se nelle impostazioni del sistema operativo sono definiti la lingua russa e i parametri regionali russi. A causa di un errore nel codice però il cryptolocker cifra file a prescindere dalla posizione geografica dell'indirizzo IP.

Trojan.Encoder.25129 cripta il contenuto delle cartelle dell'utente corrente, del Desktop di Windows, nonché delle cartelle di servizio AppData e LocalAppData. La cifratura viene effettuata con l'uso degli algoritmi AES-256-CBC, ai file cifrati viene attribuita l'estensione .tron. Non vengono cifrati i file più grandi di 30000000 di byte (circa 28,6 MB). Dopo aver completato la cifratura, il trojan crea il file %ProgramData%\\trig e scrive in esso il valore «123» (se tale file esiste già, la cifratura non viene eseguita). Quindi il cryptolocker invia una richiesta sul sito iplogger di cui l'indirizzo è trascritto nel suo corpo. In seguito il programma malevolo visualizza una finestra con una richiesta del riscatto.

Trojan.Encoder.25129 screen #drweb

La dimensione del riscatto chiesto dai malintenzionati varia da 0,007305 a 0,04 Btc. Con il clic sul pulsante HOW TO BUY BITCOIN il trojan visualizza una finestra con le istruzioni per l'acquisto della criptovaluta Bitcoin:

Trojan.Encoder.25129 screen #drweb

Sebbene nelle richieste del riscatto i malfattori assicurino le vittime che loro saranno in grado di recuperare i file criptati, il recupero non è possibile nella maggior parte dei casi a causa di un errore presente nel codice del trojan.

Gli utenti di Dr.Web sono protetti dalle attività di questo cryptolocker in quanto la protezione preventiva dei nostri prodotti antivirus lo rileva e rimuove con successo. Ciononostante, gli specialisti dell'azienda Doctor Web vi ricordano che è necessario effettuare un backup tempestivo di tutte le informazioni importanti.

Affinché un trojan non rovini i file, utilizzate la prevenzione della perdita di dati

Pronti per i cryptolocker! Presentazioni su configurazione Decifratura gratuita

Informazioni sul trojan

#trojan.Encoder #software_malevolo #ricatto #trojan

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web

Esperienza di sviluppo dal 1992

Dr.Web viene utilizzato in 200+ paesi del mondo

L'antivirus viene fornito come un servizio dal 2007

Supporto ventiquattro ore su ventiquattro

© Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125040, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A