Не секрет, что разработчики вредоносных программ любыми мыслимыми и немыслимыми способами стараются сделать так, чтобы их творения не обнаружили и не проанализировали специалисты в области ИБ. По словам экспертов компании Symantec, одним из интересных способов помешать специалистам проанализировать вредонос является использование шифрованной файловой системы (EFS).
По данным Symantec, именно для этой цели EFS, в частности, использует вредоносную программу Backdoor.Tranwos.
Инфицировав компьютер жертвы, Tranwos позволяет киберпреступникам загружать в инфицированную систему дополнительные вредоносные программы. Затем создаёт временную папку, после чего активирует EncryptFileW API. Это позволяет вредоносу зашифровать все свои файлы и папки. Такая система защиты лишает экспертов не только возможности получить доступ к вредоносным файлам с другой операционной системы (например, Linux), но также не позволяет им использовать специализированное программное обеспечение, позволяющее анализировать содержимое вредоносных файлов.
Эксперты Symantec утверждают, что единственный способ получить доступ к содержимому вредоносных файлов - запустить вредонос на тестовом компьютере вручную
