SHA1:
- de74dd60ba3448b072f03ad80001f6a903f60b60
Троянец-шифровальщик, заражает устройства под управлением Microsoft Windows. Превентивной защитой Антивируса Dr.Web обнаруживается как DPH:Trojan.Encoder.9.
После запуска проверяет географическое расположение пользователя по IP-адресу с помощью сервиса 2ip.ru. Согласно задумке вирусописателей, не должен шифровать файлы, если IP-адрес устройства расположен в России, Беларуси или Казахстане, а также если в объекте CultureInfo, представляющем язык и региональные параметры, установленные с операционной системой, установлена российская локаль. Однако из-за ошибки в коде энкодер шифрует файлы вне зависимости от географической принадлежности IP-адреса.
Устанавливает себя в автозагрузку с использованием планировщика задач Windows. Шифрует содержимое следующих папок:
Шифрует файлы с использованием алгоритмов AES-256-CBC с одним и тем же ключом, хранящимся в теле троянца. К зашифрованным файлам добавляет расширение ".tron".
Не шифруются файлы размером более 30000000 байт (примерно 28.6 МБ). После завершения шифрования в файл %ProgramData%\\trig записывается значение «123», затем троянец отправляет запрос на сайт iplogger, адрес которого зашит в его теле. После этого вредоносная программа показывает окно с требованиями выкупа.
По нажатию на кнопку HOW TO BUY BITCOIN троянец демонстрирует окно с инструкциями по покупке криптовалюты Bitcoin:
Размер требуемого злоумышленниками выкупа варьируется от 0,007305 до 0,04 Btc.
Из-за допущенной в коде троянца ошибки расшифровка поврежденных энкодером файлов в большинстве случаев невозможна.
