Keyboard locked in a chain.

Специалистите от Malwarebytes разкриха как може да се възстановят криптираните от рансъмуера VirLocker файлове, без да се плаща откуп. Необходимо е да се накара вирусът да счита, че сумата е вече платена.

Първите версии на рансъмуера VirLocker се появиха преди около 5 години. По аналогия с други подобни вредоносни програми VirLocker блокира десктопа на заразения компютър, шифрира файловете и извежда на екрана съобщение за откуп. Но за разлика от другите подобни вируси, VirLocker може да се размножава чрез вмъкване на вредоносен код в почти всеки файл на заразения компютър – от изображения до приложения. След заразяването на обикновени файлове, VirLocker ги преобразува в изпълними и добавя разширение .exe. Стартирането на подобен файл води до повторно стартиране на вредоносния код и до инфектирането на нова жертва, ако вирусът е попаднал в друг компютър.

По време на анализите на кода на новата версия на VirLocker, специалистите на Malwarebytes разбраха, че произволна последователност от 64 символа (например 64 нули) въведена в текстовото поле Transfer ID: се счита от вируса като заплащане. След въвеждането на символите и натискането на Pay Fine, десктопът се деблокира и оригиналните файлове се възстановяват.

0 0 гласа
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари