Rivadavia 520 Galeria Cristal 1º Piso-Local 6 - Pico Truncado |    0297 154134189

Se puede descifrar archivos dañados por la última versión del troyano cifrados «Vault»

9 de noviembre de 2015

Los expertos de la empresa antivirus Doctor Web han inventado una metodología para descifrar archivos dañados por el troyano encoder peligroso Trojan.Encoder.2843, conocido para los usuarios como «Vault».

Esta versión del cifrador, llamada Trojan.Encoder.2843 en clasificación de Dr.Web, se difunde activamente por los malintencionados por medio de envíos de correo. Como adjunto a mensajes se usa un archivo pequeño que contiene un script en JavaScript. Este archivo extrae de sí mismo una aplicación que realiza todas las demás acciones necesarias para el funcionamiento del encoder. Esta versión del troyano cifrador se difunde a partir del 2 de noviembre de 2015.

El principio de funcionamiento de este programa nocivo también es bastante particular. En el registro de sistema Windows se guarda la biblioteca dinámica cifrada (.DLL), y en el proceso iniciado explorer.exe el troyano incrusta un código pequeño que lee el archivo del registro a la memoria, descifra y transmite la administración al mismo.

Trojan.Encoder.2843 también guarda el listado de archivos cifrados en el registro del sistema y usa para cada uno de los mismos una clave única que consiste en caracteres latinos en mayúscula. Los archivos se cifran usando los algoritmos Blowfish-ECB, la clave de sesión se cifra con RSA usando la interfaz CryptoAPI. A cada archivo cifrado se le atribuye una extensión.vault.

Los expertos de la empresa Doctor Web han desarrollado una metodología especial que en muchos casos permite descifrar los archivos dañados por este troyano. Si Vd. es víctima del programa nocivo Trojan.Encoder.2843, siga las siguientes recomendaciones:

  • presente una denuncia correspondiente a la policía;
  • nunca intente reinstalar el sistema operativo, «optimizarlo» o «limpiarlo» usando alguna utilidad;
  • no borre ningún archivo en su equipo;
  • no intente recuperar los archivos cifrados sin ayuda;
  • contacte con el servicio de soporte técnico de la empresa Doctor Web (este servicio es gratis para los usuarios de licencias comerciales Dr.Web);
  • adjunte cualquier archivo cifrado por el troyano al ticket;
  • espere la respuesta del experto del servicio de soporte técnico; por causa de gran cantidad de solicitudes, esto puede llevar un rato.

Recordamos que los servicios de descifrar archivos se prestan solo a los titulares de licencias comerciales de productos antivirus Dr.Web. La empresa Doctor Web no garantiza el descifrado completo de todos los archivos dañados por el encoder, pero nuestros especialistas harán todo lo posible para salvar la información cifrada.

Fuente: Dr web

Dejanos tu comentario

Por favor ingrese su nombre. Por favor ingrese un email valido. Por favor ingrese su comentario.