Эксперты «Доктор Веб» сообщают о шифровальщике Trojan.Encoder.6491, написанном на языке программирования Go, который разработан Google. Специалисты отмечают, что до сих пор они никогда не встречали вымогательские программы, разработанные с применением данной технологии.
При проникновении в систему Trojan.Encoder.6491 маскируется под файл Windows_Security.exe, а затем, используя алгоритм AES, осуществляет шифрование файлов, хранящихся на дисках. Вредоносная программа не шифрует файлы, в именах которых есть такие элементы, как AppData, Application Data, Bin, Boot, db, .enc, exe, Instructions, Program Files, Program Files (x86), System Volume Information, temp, tmp, Windows и winnt.
Вымогательская программа осуществляет шифрование файлов 140 разных типов. Trojan.Encoder.6491 кодирует оригинальные имена файлов, используя Base64, а затем меняет их расширения на .enc.
По окончании шифрования данных вредоносная программа открывает в окне браузера файл Instructions.html, который содержит требование заплатить 25 долларов.
Как утверждают эксперты «Доктор Веб», Trojan.Encoder.6491 периодически проводит проверку баланса Bitcoin-кошелька, на который пострадавший должен перевести деньги. После того, как сумма была выплачена, программа автоматически восстанавливает все файлы, которые были ранее зашифрованы.
Эксперты не советуют платить преступникам, поскольку уже разработан метод расшифровки файлов, пострадавших от активности Trojan.Encoder.6491. Специалисты советуют обращаться в службу техничкой поддержки «Доктор Веб», но услуги по расшифровке файлов предоставляются лишь тем, кто имеет коммерческую лицензию на антивирусную продукцию Dr.Web.