Virlock блокира екрана, кодира данните и иска откуп

Нова разновидност на зловредния софтуер Win32/Virlock блокира десктопа, кодира файловете и иска откуп, за да ги възстанови. Троянецът-шифратор бе засечен от компанията за сигурност ESET, която предлага и „лекарство” срещу опасната зараза.

В допълнение към традиционната функционалност, Win32/Virlock може също така да заразява файлове като полиморфен вирус, вграждайки в тях собствен код. Програмата поразява файлове с най-разпространените формати, вкл. exe, doc, xls, zip, rar, pdf, ppt, mp3, png, gif и jpg, както на мрежови дискове, така и на сменяеми носители.

При заразяване на неизпълним файл Win32/Virlock използва специална схема. Вместо обичайния за този тип вируси побитово кодиране, Virlock преобразува файла в изпълним. За целта зловредната програма създава нов файл с кодирано съдържание на документа и свой код, изтрива оригиналния файл и презаписва новия със същото име, но вече с разширение „exe”.

Пускането на инфектирания файл се съпровожда със създаване на два нови, които извършват по-нататъшно заразяване на системите. Полиморфизмът на Win32/Virlock гарантира уникалност на тялото на зловредната програма във всеки обработен файл.

Част от кода на Win32/Virlock отговаря за показване на екрана на съобщението за блокиране и за самозащитата, вкл. завършване на процеси в мениджъра на задачи. Съобщението съдържа искане за откуп в размер на 250 долара в биткоин еквивалент.

Анализът на транзакциите по посочената сметка за биткойн показва, че някои от жертвите на вируса вече са заплатили поисканата сума на престъпниците. В допълнение, кодът на вредоносната програма може да изпълнява локализация на екрана за блокиране, като дори показва националния флаг, стойността на биткойн и курса на местната валута.