Я недавно столкнулся с таким вирусом. И появился он не "недавно", это раз. Такой тип вредоносного ПО известен, по-моему, с 2004 года. Этот тип вирусов (decryptor или troyan-ransom) нацелен на шифрование файлов пользовательских расширений (txt,doc,docx,xls,mp3 и т.п.). Пораженные файлы меняют имена и расширения. После чего открыть файл пользовательскими средствами невозможно. При этом на рабочем столе (как вариант- в виде обоев) появляется текст, вымогающий деньги (перешлите деньги на счёт и т.п.). Сейчас за расшифровку вымогатели требуют от 2 до 5 тыс.руб. Различают эти вирусы на пользовательском уровне по расширению. Мой клиент "поймал" вирус, оставляющий расширение xbtl.
Пример сообщения от вымогателя, появившийся в файле read.me на рабочем столе клиента:
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
D8326B3ABF448E7DF4EF|0
на электронный адрес decoder1112@gmail.com или deshifrovka@india.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
D8326B3ABF448E7DF4EF|0
to e-mail address decoder1112@gmail.com or deshifrovka@india.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
Вирус я ему пролечил, там, по сути, ничего архисложного. Но вот расшифровать данные я не смог. И вряд ли кто пока сможет. RSA шифрование глубиной 1024 бита - это серьёзно. Спецы на лабе Касперского пока что разводят руками. Хотя на сайте Касперов лежит три дешифровщика для предыдущих версий этого вируса. У dr.Web что-то лежало похожее. Но увы, против xbtl неэффективное.
Возможно, этого козла\козлов управление К возьмёт рано или поздно за жопу или же спецы из лаборатории Касперского напишут дешифратор. Клиенту я посоветовал залить его зашифрованные документы в архив и ждать. Как сломать шифрование такой глубины в экономически оправданные сроки - лично я ХЗ. Более того, я вообще сильно сомневаюсь, что смогу это сделать в любой срок.
Вот ссылка на странички закачки бесплатных расшифровщиков на лабе Касперского, если вдруг кому пригодится:
http://support.kaspersky.ru/viruses/disinfection/8547
http://support.kaspersky.ru/viruses/sms
Источник заражения в 2014 году - рассылка писем с "вложениями", вроде как на Java написанных. Основной источник заражения в 2015 году (пока что) установка непонятного ПО с сайтов сомнительного содержания.
ПЫСЫ.
В Рунете есть много рекламы IT-фирм, занимающихся расшифровкой файлов (при наличии "живого" исходного вируса). Просят от 1.5 до 5 тыс. руб. Правда, сомневаюсь я что-то в них...