Специалистам «Доктор Веб» первым удалось разработать программу, способную декодировать файлы, зашифрованные троянцем-шифровальщиком Trojan.Encoder.252. Напомним, данный вирус шифрует файлы на компьютере и вымогает у пользователя определенную сумму за расшифровку.

Чаще всего троянская программа распространяется через массовую почтовую рассылку. После активации в системе, вредоносный файл создает собственную копию под именем svhost.exe в системном каталоге и редактирует системный реестр, обеспечивая себе автоматический запуск при старте системы.

Вирус шифрует файлы пользователя только в том случае, если ПК подключен к Интернету. Trojan.Encoder.252 последовательно сканирует логические диски, формируя список файлов с определенным расширением (.txt, .dbf, .xlsx, .1cd, .crt, .pptx, .cad, .kwm, .key, .dwg, .sql, .pgp, .csv, .php, .psd, .ppsx, .cdr, .pdf, .iso, .dot, .pps, .pot, .7z, .docx, .xls, .zip, .rar, .doc, .rtf, .jpg, .jpeg), который сохраняется в текстовый документ. Далее троянская утилит доступность управляющих серверов, на которые в дальнейшем будут отправлены ключи шифрования. В случае успешного завершения процесса шифрования к именам файлов добавляется слово Crypted, а на рабочем столе появляется надпись с требованием перечислить некоторую сумму за расшифровку всех файлов.

Ранее считалось, что зашифрованные файлы невозможно расшифровать – вирус использует слишком сложные алгоритмы шифрования. Однако компания «Доктор Веб» смогла создать программу, способную подобрать ключ для расшифровки. Правда для данного процесса необходим компьютер с мощными вычислительными ресурсами – на обычном ПК для вычисления ключа может понадобиться почти месяц. В процессе тестирования утилиты специалисты использовали сервер с 24 процессорными ядрами, что позволило подобрать ключ за 20 часов.