Polyglot: шифровальщик-мим и лекарство от него

Новости Угрозы

Различных вариантов и разновидностей троянов-шифровальщиков становится больше едва ли не каждый день. Создатели этой заразы по-прежнему считают это легким способом заработать кучу денег, несмотря на то что правоохранительные органы обратили на эту проблему пристальное внимание.

Polyglot: шифровальщик-мим и лекарство от него

Более того, версий вымогателей настолько много, что их создатели начинают повторяться. Например, недавно обнаруженный троян-шифровальщик Polyglot, также известный как MarsJoke, старательно копирует известного и весьма мерзкого троянца CTB-Locker.

Заимствование прослеживается буквально во всем. Интерфейс Polyglot едва ли не идентичен окнам, которые выводит CTB-Locker. Он так же меняет обои рабочего стола на картинку с предупреждением, так же предлагает расшифровать любые пять файлов — на пробу.

Polyglot выводит абсолютно такую же инструкцию — текст просто скопирован из CTB-Locker. Даже окно ошибки отсутствия соединения как две капли воды похоже на то, что показывает CTB-Locker.

Polyglot: шифровальщик-мим и лекарство от него

Алгоритмы шифрования и работы с ключами Polyglot также использует те же самые — весьма стойкие. Распространяется он в основном через спам-рассылки — в письмах с вредоносными ссылками на якобы важные документы, а на самом деле — на архив со зловредом. В каждом случае установленный на компьютере Polyglot уточняет, сколько денег требовать за расшифровку, и выводит пользователю сумму. Например, в нашем случае он потребовал 0,7 биткойна — около $320.

Едва ли не единственное внешнее отличие клона от оригинала касается непосредственно результатов их деятельности — Polyglot оставляет зашифрованным файлам их «родное» расширение, тогда как CTB-Locker его меняет, чаще всего на .ctbl или .ctb2.

При этом перед нами два принципиально разных шифровальщика — общих моментов в коде Polyglot и CTB-Locker практически нет. Специалисты «Лаборатории Касперского» подозревают, что таким образом создатель Polyglot пытался навести исследователей на ложный след.

Polyglot: шифровальщик-мим и лекарство от него
К счастью, создатели Polyglot допустили ошибку при работе с генератором криптоключей. Это позволило нашим исследователям создать «лекарство», позволяющее расшифровать все поврежденные им файлы, не уплачивая выкуп

Файлы, зашифрованные CTB-Locker, расшифровать невозможно. А вот создатели Polyglot, к счастью, допустили ошибку при работе с генератором криптоключей. Это позволило нашим исследователям создать «лекарство» от Polyglot, позволяющее расшифровать все поврежденные им файлы, не уплачивая выкуп.

Для того чтобы расшифровать файлы, зашифрованные Polyglot/MarsJoke, необходимо скачать с сайта noransom.kaspersky.com бесплатную утилиту RannohDecryptor (подходят утилиты версии 1.9.3.0 и новее) и запустить ее.

Правда, стоит все-таки отметить, что это скорее счастливая случайность и полагаться на то, что вы всегда сможете расшифровать свои файлы, ни в коем случае не стоит. Например, в случае вымогателя CryptXXX с третьего раза его создателю таки удалось сделать алгоритм таким, чтобы наши утилиты не могли с ним справиться. Возможно, разработчик Polyglot также со временем доработает свое детище — это не редкость среди вирусописателей.

Лучшая защита от шифровальщиков — это их обнаружение еще до того, как они начали действовать. А для этого на вашем компьютере в обязательном порядке должно быть установлено качественное защитное решение — например, Kaspersky Internet Security.

Также мы настоятельно рекомендуем делать бэкапы и не открывать подозрительные вложения в письмах.