20 marzo 2015

Doctor Web avverte della diffusione del pericoloso programma di cifratura Trojan.Encoder.514 che i malintenzionati inviano in messaggi elettronici indesiderati. Al momento non è possibile ripristinare file corrotti dalle azioni del Trojan.Encoder.514.

Negli ultimi mesi i malfattori hanno diverse volte inviato messaggi indesiderati contenenti varie versioni dei trojan-encoder. Per esempio, si ricevevano spesso i falsi avvisi da un servizio di trasmissione di fax attraverso Internet con l'oggetto Incoming Fax Report. Tal email include un allegato che, invece di essere un fax, è un archivio ZIP contenente un file malevolo SCR, eseguibile nei sistemi operativi Microsoft Windows. Questi file SCR vengono classificati dal software antivirus Dr.Web come Trojan.DownLoader11.32458.

Se l'utente prova ad aprire l'allegato, il programma malevolo Trojan.DownLoader11.32458 decomprime ed esegue il programma Trojan.Encoder.514 studiato per criptare file disponibili su disco del computer attaccato e per visualizzare richieste di pagare per il recupero dei file. I file criptati dal Trojan.Encoder.514 non ricevono un'estensione a parte, ma all'inizio del nome di file viene aggiunta la stringa "!crypted!". La cifratura avviene con la creazione dei file intermedi con l'estensione *.cry che quindi vengono rimossi.

Al momento non è possibile decifrare i file cifrati dal Trojan.Encoder.514Gli specialisti Doctor Web vi ricordano della necessità del backup tempestivo delle informazioni più importanti e anche consigliano di essere attenti e di non aprire allegati alle email ricevute da mittenti sconosciuti.