"Лаборатория Касперского" сообщила о появлении новой модификации троянской программы Cryzip
22.03.2010
"Лаборатория Касперского" сообщила о появлении новой модификации троянской программы Cryzip, упаковывающей файлы пользователя в запароленные zip-архивы.
Заражение троянцем осуществляется через сайты, содержащие контент для взрослых. Попав на компьютер, троянец начинает поиск по нескольким десяткам популярных расширений, в том числе .rar, .zip, .7z, .pdf, .djvu, .txt, .xls, .xlsx, .rtf, .doc .docx, .htm, .html, .mht, .jpg, .jpeg и другим. Для каждого найденного файла создается архив <имя_оригинального_файла>_crypt_.rar, затем оригинал удаляется без возможности восстановления. За пароль от архивов программа требует отправить 2000 рублей с помощью SMS-сообщения.
Данная программа была обнаружена аналитиками компании 13 марта и детектируется как Trojan-Ransom.Win32.Cryzip.c.
По данным "Лаборатории Касперского", случаи заражения этой вредоносной программой зафиксированы не только в России, но и в Казахстане, Латвии, Польше, Республике Молдова, Египте, во Франции, Индии, Италии, Мексике, Саудовской Аравии, Испании, США, на Украине, а также в других странах.
"За последние полгода количество вредоносных программ-вымогателей значительно возросло, причем появилась тенденция к их глобальному распространению. Если прежде российские пользователи составляли 90% жертв подобных зловредов, то с начала марта картина начала меняться, — говорит Иван Татаринов, вирусный аналитик "Лаборатории Касперского". — Программы, подобные Cryzip, перестали быть национальной проблемой: сейчас уже 20% заражений приходится на зарубежные страны".
Специалистами компании разработан генератор паролей для расшифровки архивов. Им можно воспользоваться по адресу http://support.kaspersky.ru/viruses/deblocker. Для получения пароля в первое поле необходимо ввести cryzip, а в поле "Текст сообщения" — идентификатор, записанный в файле auto_rar_report.txt, где вредоносная программа генерирует инструкцию "Как вернуть ваши файлы".
