Trojan.Encoder

F

faza74

Что за зверь Trojan.Encoder?

[FONT=&amp]13 августа 2008 г. компания «Доктор Веб» сообщила о появлении троянской программы-вымогателя, которая шифрует пользовательские файлы, после чего вирус самоликвидируется, оставляя в корне диска c:\ текстовый файл crypted.txt с требованием заплатить 10$ (варианты: 30€, 89$) за программу-расшифровщик. [/FONT]

[FONT=&amp]Какие файлы зашифровывает вирус:
[/FONT]

[FONT=&amp]Троян шифрует файлы с расширениями: .jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .asf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar, .zip, .db, .mdb, .dbf, .dbx, .h, .c, .pas, .php, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .sol, .jbc, .txt, .p. [/FONT]
[FONT=&amp]Зашифрованные файлы можно различить по расширению .crypt. [/FONT]

[FONT=&amp]Пути распространения вируса:

Вирус распространяется через зараженные сайты, пользуясь уязвимостями интернет-браузеров. Классификация вируса В классификации компании «Доктор Веб» троянская программа получила название Trojan.Encoder.19. [/FONT]


[FONT=&amp]В начале сентября 2008 г. появилась новая версия трояна Trojan.Encoder.20, в которой по сравнению с Trojan.Encoder.19 изменен механизм шифрования и генерации ключа. Примерное содержимое файла crypted.txt:[/FONT]

[FONT=&amp] Your files have been encrypted! The decryption utility costs 10$! More: http://decryptor.****** E-mail: decryptor2008@****** ICQ: ******* S/N BF_3-pUChT$+bm5 Do not delete or modify the file!!![/FONT]



[FONT=&amp]Примечания: [/FONT]
[FONT=&amp]1. Не удаляйте файл crypted.txt (на инфицированном ПК расположен в корне диска c:\). Удаление crypted.txt может сделать невозможной расшифровку файлов. [/FONT]
[FONT=&amp]2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами. [/FONT]
[FONT=&amp]3. Почаще делайте резервное копирование важной информации.[/FONT]
[FONT=&amp]

Источник: http://shkolazhizni.ru/archive/0/n-20455/
© Shkolazhizni.ru[/FONT]



В последнее время созданы новые модификации, Новости Интерсвязи


Основной вид заражения:
Письмо на электронную почту от Сбербанка или Арбитражного Суда, с вложением, содержащим файл с расширением docx.exe

Краткий путеводитель по нашим славным энкодерам.

Encoder.102:
*.sos@rome.com_Txx - http://forum.drweb.com/index.php?showtopic=314686
*.tutu@safrica.com_Xxx - http://forum.drweb.com/index.php?showtopic=314690
Encoder.225 и его модификации:
*.decryptyoufiles@yahoo.com_enc - http://forum.drweb.com/index.php?showtopic=314719
*.marikol8965@yahoo.com - http://forum.drweb.com/index.php?showtopic=314300

*.mrcryptorfile@yahoo.com_crypt - http://forum.drweb.com/index.php?showtopic=314549
*.milenium56m1@yahoo.com - http://forum.drweb.com/index.php?showtopic=314145

muranchiki@yahoo.com (контакт злоумышленника) - http://forum.drweb.com/index.php?showtopic=313550
*.cryptxxxxxxx, chernoslik12@gmail.com (контакт злоумышленника) - http://forum.drweb.com/index.php?showtopic=313827
Encoder.94:
xakep@bk.ru (контакт злоумышленника) - http://forum.drweb.com/index.php?showtopic=314258
somalia@2trom.com, somaliajaz@aol.com (контакт злоумышленника) - http://forum.drweb.com/index.php?showtopic=313480
Encoder.263:
*.locked, decryptor2013@gmail.com (контакт злоумышленника) - http://forum.drweb.com/index.php?showtopic=314689


Пример:
В дочерней компании словили вирус-вымогатель от sos@rome.com, заблокированы файлы 1С
Текст файла от вымогателей:

"Для разблокировки и получения дешифратора, Вам необходимо
пожертвовать детям африки 2 биткоина при помощи электронного платежа.Так же для проверки,
вы можете прислать нам зашифрованный файл, мы дешифруем и вышлем ваш файл в исходном состоянии".

Даётся только три дня по оплате их услуг.

Информация и рекомендации с форума Dr.WEB:


Признаки заражения: Файлы зашифрованы, дополнительное расширение .sos@rome.com_Txx, где xx - число. Максимально известное число - 31.

Информация по трояну: Горячо всеми любимый Trojan.Encoder.102. Распространяется как в письма с вложением, так и по дискам, доступным с зараженных машин.

Расшифровка: Без секретной части ключа, которая только у автора трояна или в его утилите для расшифровки - невозможна. Возможно только частичное восстановление JPG и офисных файлов.
По состоянию на 24.07.2013 есть полноценная расшифровка только для sos@rome.com_T9, sos@rome.com_T6 (не тестировали).

Криптография: Основная проблема в том, что используется RSA. Для тех, кто считает что это просто, что мы должны расшифровывать это за 3 дня - предлагаю разложить на простые множители число 7045468556108937209124021108016797853137224510033291735402711303430593
1766600876125567023149334231410982510321104774820380185353487673812477
6740260133999313329483634698622553458721654503408532977789310911094074140229132163444279940996038117
Задача по расшифровке данных сводится именно к разложению подобных чисел на множители.

Что необходимо сделать:
- озаботиться информационной безопасностью ваших машин.
- обратиться с заявлением о совершенном преступлении в правоохранительные органы.
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 зашифрованный doc-файл. Дожидаться ответа на Вашу почту сотрудника Dr.Web и далее следовать его указаниям. Второй вариант получить помощь - через https://vms.drweb.com/sendvirus/?lng=ru указав категорию "Запрос на лечение" и указав серийный номер продукта (!!!).

Что НЕ нужно делать:
- менять расширение у зашифрованных файлов;
- использовать самостоятельно без консультации с сотрудниками Dr. Web любые программы для расшифровки/восстановления данных.
- Чистить или лечить машину чем либо: удалять/переименовывать какие-либо файлы, чистить почту, временные файлы и т.д.


Но, к сожалению:
В связи с огромным наплывом запросов от пользователей других антивирусных продуктов, с 19 июня 2013 г. служба поддержки «Доктор Веб» оказывает бесплатные услуги по расшифровке только пользователям продуктов Dr.Web.

Помощь в расшифровке файлов – пользователям Dr.Web

19 июня 2013 года
Компания «Доктор Веб» сообщает о том, что с сегодняшнего дня бесплатная услуга по восстановлению файлов, зашифрованных вредоносными программами семейства Trojan.Encoder, предоставляется только пользователям продуктов Dr.Web. Это связано с огромным количеством запросов по «энкодерам», вследствие чего антивирусная лаборатория и служба технической поддержки компании работают в режиме повышенной нагрузки.
Только за три последних месяца в техподдержку «Доктор Веб» поступило около 2800 запросов на расшифровку – приблизительно 30 заявок по Trojan.Encoder приходится обрабатывать в течение дня. Подавляющее большинство пострадавших либо не использует антивирус вовсе, либо полагается на популярные бесплатные средства защиты, что влечет за собой рост количества заражений троянцем-шифровальщиком и, соответственно, увеличение числа запросов.
Для привлечения внимания к надежным и проверенным временем антивирусным средствам, а также для того, чтобы оказывать качественную и своевременную поддержку в первую очередь нашим клиентам, было принято решение о предоставлении бесплатной услуги по расшифровке только для зарегистрированных пользователей Dr.Web.
 

igoreexa

Ословед
Самое главное оставить ПК выключенным
!!!!! НЕ УДАЛЯТЬ ВИРУС !!!!!!
Не предпринимать действий которых не понимаете .
И всю информацию можно вернуть в объёме 99% при наличии вируса 100%
Есть как минимум 3 способа как всё вернуть .
 
Последнее редактирование:
Сверху