Различных вариантов и разновидностей троянов-шифровальщиков становится больше едва ли не каждый день.
Создатели этой заразы по-прежнему считают это легким способом заработать кучу денег, несмотря на то что правоохранительные органы обратили на эту проблему пристальное внимание.
Более того, версий вымогателей настолько много, что их создатели начинают повторяться. Например, недавно обнаруженный троян-шифровальщик Polyglot, также известный как MarsJoke, старательно копирует известного и весьма мерзкого троянца CTB-Locker. Заимствование прослеживается буквально во всем. Интерфейс Polyglot едва ли не идентичен окнам, которые выводит CTB-Locker. Он так же меняет обои рабочего стола на картинку с предупреждением, так же предлагает расшифровать любые пять файлов — на пробу.
Polyglot выводит абсолютно такую же инструкцию — текст просто скопирован из CTB-Locker. Даже окно ошибки отсутствия соединения как две капли воды похоже на то, что показывает CTB-Locker.
Алгоритмы шифрования и работы с ключами Polyglot также использует те же самые — весьма стойкие. Распространяется он в основном через спам-рассылки — в письмах с вредоносными ссылками на якобы важные документы, а на самом деле — на архив со зловредом. В каждом случае установленный на компьютере Polyglot уточняет, сколько денег требовать за расшифровку, и выводит пользователю сумму. Например, в нашем случае он потребовал 0,7 биткойна — около $320.
Едва ли не единственное внешнее отличие клона от оригинала касается непосредственно результатов их деятельности — Polyglot оставляет зашифрованным файлам их «родное» расширение, тогда как CTB-Locker его меняет, чаще всего на .ctbl или .ctb2.
При этом перед нами два принципиально разных шифровальщика — общих моментов в коде Polyglot и CTB-Locker практически нет. Эксперты подозревают, что таким образом создатель Polyglot пытался навести исследователей на ложный след.
Файлы, зашифрованные CTB-Locker, расшифровать невозможно. А вот создатели Polyglot, к счастью, допустили ошибку при работе с генератором криптоключей. Это позволило исследователям создать «лекарство» от Polyglot, позволяющее расшифровать все поврежденные им файлы, не уплачивая выкуп.
Для того чтобы расшифровать файлы, зашифрованные Polyglot/MarsJoke, необходимо скачать с сайта noransom.kaspersky.com бесплатную утилиту RannohDecryptor (подходят утилиты версии 1.9.3.0 и новее) и запустить ее.
Правда, стоит все-таки отметить, что это скорее счастливая случайность и полагаться на то, что вы всегда сможете расшифровать свои файлы, ни в коем случае не стоит. Например, в случае вымогателя CryptXXX с третьего раза его создателю таки удалось сделать алгоритм таким, чтобы утилиты не могли с ним справиться. Возможно, разработчик Polyglot также со временем доработает свое детище — это не редкость среди вирусописателей.
Лучшая защита от шифровальщиков — это их обнаружение еще до того, как они начали действовать. А для этого на вашем компьютере в обязательном порядке должно быть установлено качественное защитное решение. Также эксперты настоятельно рекомендуют делать бэкапы и не открывать подозрительные вложения в письмах.
