Protege lo creado

Otros recursos

  • free.drweb-av.es — utilidades gratuitas, complementos, informadores
  • av-desk.com — un servicio en Internet para los proveedores de servicios Dr.Web AV-Desk
  • curenet.drweb.com — utilidad de desinfección de red Dr.Web CureNet!
Cerrar

Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas | Normas de contactar

Sus solicitudes

Perfil

Volver a las noticias

Doctor Web detectó el primer encoder en Go y desarrolló un descifrado

11 de octubre de 2016

Los analistas de virus de la empresa Doctor Web detectaron el primer cifrador creado en el lenguaje Go. Este troyano que atribuye a los archivos cifrados la extensión .enc fue llamado Trojan.Encoder.6491. Los expertos de Doctor Web han desarrollado una tecnología de descifrado de archivos dañados por este programa nocivo.

Las nuevas versiones de troyanos encoders aparecen cada mes. Trojan.Encoder.6491 es interesante por haber sido desarrollado en el lenguaje de programación Go creado por la empresa Google: los analistas de virus no habían detectado antes los cifradores creados usando esta tecnología. Al iniciarse, Trojan.Encoder.6491 se instala a sí mismo en el sistema bajo el nombre Windows_Security.exe. Luego el troyano empieza a cifrar los archivos guardados en las unidades usando el algoritmo AES. Durante su funcionamiento, el programa nocivo deja pasar los archivos cuyos nombres contienen las líneas siguientes:

tmp
winnt
Application Data
AppData
Program Files (x86)
Program Files
temp
thumbs.db
Recycle.Bin
System Volume Information
Boot
Windows
.enc
Instructions
Windows_Security.exe

El troyano cifra los archivos de 140 tipos detectándolos por su extensión. Trojan.Encoder.6491 codifica los nombres de archivos originales usando el método Base64, y luego atribuye la extensión .enc a los archivos cifrados. Como resultado, por ejemplo, el archivo llamado Test_file.avi tendrá un nombre VGVzdF9maWxlLmF2aQ==.enc.

Luego el cifrador abre en la ventana de navegador el archivo Instructions.html solicitando el rescate en criptomoneda Bitcoin:

screen Trojan.Encoder.6491 #drweb

Cabe destacar que Trojan.Encoder.6491, con intervalo determinado, verifica el saldo del monedero Bitcoin donde la víctima debe transferir el dinero. Al registrar una transferencia bancaria, el encoder descifra automáticamente todos los archivos anteriormente cifrados usando la función incrustada.

Los expertos de la empresa Doctor Web desarrollaron una metodología especial que permite descifrar los archivos víctimas de este troyano. En caso de ser víctima del programa nocivo Trojan.Encoder.6491, use las recomendaciones siguientes:

  • presente la denuncia correspondiente a la policía;
  • nunca intente reinstalar el sistema operativo, «optimizar» o «limpiarlo» usando alguna utilidad;
  • no borre ningún archivo en su equipo;
  • no intente restaurar los archivos cifrados sin ayuda;
  • contacte con el servicio de soporte técnico de la empresa (este servicio es gratis para los usuarios de licencias comerciales Dr.Web);
  • adjunte a la solicitud cualquier archivo cifrado por el troyano;
  • espere la respuesta del experto de servicio de soporte técnico; por causa de muchas solicitudes, esto puede llevar un rato.

Recordamos que los servicios de descifrar archivos se prestan solo a los titulares de licencias comerciales de productos antivirus Dr.Web. La empresa Doctor Web no garantiza el descifrado completo de todos los archivos víctimas del encoder, pero nuestros expertos harán todo lo posible para restaurar la información cifrada.

Para que un troyano no dañe los archivos, use la protección de la pérdida de datos

Más información sobre los cifradores Presentaciones sobre la configuración Descifrar gratis Tema "Cifrarlo todo"

Nos importa su opinión

Por cada comentario se abona 1 punto Dr.Web. Para hacer una pregunta sobre la noticia para la administración del sitio web, indique al principio de su comentario @admin. Si su pregunta es para el autor de algún comentario - indique @ antes de escribir su nombre.


Otros comentarios

Desarrollador ruso de antivirus Dr.Web

Experiencia de desarrollo a partir del año 1992

Dr.Web se usa en más de 200 países del mundo

Entrega de antivirus como servicio a partir del año 2007

Soporte 24 horas

© Doctor Web
2003 — 2019

Doctor Web es un productor ruso de los medios antivirus de protección de la información bajo la marca Dr.Web. Los productos Dr. Web se desarrollan a partir del año 1992.

125040, Rusia, Moscú, c/3 Yamskogo Polya, 2, edif.12А