Trojan encoder дешифратор

Вирусные аналитики: Все о Trojan.Encoder и Trojan.Winlock

Trojan encoder дешифратор

08.12.2009, Вт, 16:12, Мск

Уровень распространения вредоносных программ в России по-прежнему остается высоким. Среди них не последнее место занимают “троянские кони”, препятствующие нормальной работе компьютера и вымогающие у пользователя деньги. Об одном из таких “продуктов” – Trojan.encoder, а также о перспективах появления новых угроз ИБ для компьютеров и мобильных устройств рассказывают представители компании “Доктор Веб” – руководитель отдела антивирусных разработок и исследований Сергей Комаров и вирусный аналитик Владимир Мартьянов.

CNews: Расскажите, как началась история троянца Trojan.Encoder. Были ли раньше в опыте вирусной лаборатории случаи, аналогичные с Trojan.Encoder?

Владимир Мартьянов: Впервые троян-шифровальщик заявил о себе летом примерно два – два с половиной года тому назад. Тогда на компьютерах нескольких известных людей он шифровал документы и требовал выкуп за их расшифровку. Первый всплеск его активности, что характерно, был в России.

“Доктор Веб” достаточно быстро справился с этой программой и выпустил утилиту для расшифровки. Однако автор вируса создал еще несколько версий, увеличивая разрядность шифрования до 128 бит и стараясь сделать невзламываемую программу.

В январе 2009 году мы обнаружили уже 34-ую модификацию троянца, которую выпустил автор, называющий себя “Корректор”. После нее новые версии выходили приблизительно раз в месяц.

В конце июля – начале августа мы стали фиксировать рост числа обращений в компанию, связанных с шифрованием файлов троянской программой, причем дело доходило до выпуска 2-3 новых модификаций вируса в неделю. Сейчас автором этого Trojan.

encoder выпущено 11 вариантов, то есть в троянце используется 11 различных ключей шифрования. Через некоторое время наступило затишье, но уже 8 октября мы столкнулись уже с 47-й версией “троянского коня”, причем это был представитель нового подсемейства, отличающийся от предыдущих образцов.

CNews: В чем состоит технологическое новшество данного троянца по сравнению с другими существующими вредоносными программами? Чем продукт примечателен для вирусного аналитика?

Сергей Комаров: Мы видим, что в 99% или 100% сегодняшних обращений от пользователей шифрование не очень стойкое. У нас нет проблем с расшифровкой файлов, и мы можем сказать, что с точки зрения технологии наблюдается тенденция к упрощению троянца. Автор, скорее всего, берет массовостью распространения вируса.

Даже если 10% пользователей заплатят выкуп за расшифровку, ему этого будет достаточно. Замечу, что первая троянская программа выпускалась для того, чтобы, используя сильный алгоритм шифрования, создать вирус-вымогатель, и при этом никто, кроме его автора, не смог бы разработать расшифровывающую утилиту.

Сейчас, судя по всему, такой цели нет, и, наверное, это стратегически правильно для вирусописателей, потому что внимания к таким авторам гораздо меньше.

Сергей Комаров: Троянцы-вымогатели – это самые популярные сейчас виды вредоносных программ

Автором первого Trojan.Encoder заинтересовались “органы”, и резонанс был достаточно сильным, потому что пользователи сталкивались с серьезной угрозой их файлам.

Им оставалось или обратиться к вирусописателю, или остаться без доступа к данным. Нам неизвестны результаты расследования этого инцидента, но стратегия создания Trojan.encoder поменялась.

Скорее всего, этим занимаются уже другие люди.

CNews: Насколько быстро специалистам компании удается выпускать утилиты для дешифровки файлов?

Владимир Мартьянов: В данном случае все зависит от того, насколько быстро в лабораторию попадает сэмпл – образец вируса. Один раз мы ждали больше недели. Если мы получаем его, то, чтобы добавить ключи шифрования и другую информацию, нужно не более 2-3 минут.

Однако у этого троянца есть и свои особенности: он шифровал файлы не целиком, а только частично. Мы выяснили это не сразу, полагая, что это ошибка автора. Тем не менее, в итоге выяснилось, что так и было задумано.

Другой комичный случай произошел, когда один из пострадавших от троянца, написанного “Корректором”, заплатил автору деньги и получил утилиту для расшифровки файлов. Однако она не запустилась на его компьютере с установленной Windows Vista.

Он рассказал об этом вирусописателю, на что тот развел руками и посоветовал скачать бесплатный дешифровщик с сайта компании “Доктор Веб”.

СNews: Изменились ли способы распространения троянца-шифровальщика?

Владимир Мартьянов: Последняя модификация троянца рассылалась по ICQ со взломанных аккаунтов. Пользователям поступало сообщение, содержащее ссылку на каталог на веб-сайте, замаскированную под графическое изображение.

При открытии сайта на компьютер загружался файл index.html, сохранявшийся под именем файла с исполняемым расширением. До этого пользователи сообщали о том, что заражались троянцем при использовании одной из программ для поднятия рейтинга в социальной сети “ВКонтакте”.

Еще один случай был связан с варез-ресурсом.

Владимир Мартьянов: Первый всплеск активности трояна-шифровальщика был в России

Trojan.encoder, созданный “Корректором”, распространялся по Email через письма с фальшивыми открытками якобы от сервиса Mail.ru. При их просмотре пользователю выдавалось сообщение о необходимости установки кодека. Во всех случаях троянская программа шифровала все пользовательские данные – текстовые документы, изображения, музыку, видео.

В одной из версий в 47-ом подсемействе “троянский конь” зачем-то шифровал файлы с расширением .bin. Учитывая, что файлы с таким расширением находятся в системных каталогах, пользователю сразу же выдавалось сообщение о замене системных файлов. Это было ошибкой создателя, и больше он так не поступал.

Отметим, что в его разработке кроме социальной инженерии не используются никакие другие уязвимости.

CNews: Какой примерный ущерб был от действий троянца? Пострадали ли от него только конечные пользователи или были случаи и в компаниях?

Сергей Комаров: Это нереально оценить. Мы можем сообщить количество обращений в компанию – с августа их было около 200, а на пике активности – до 20 запросов в день. В принципе, Trojan.Encoder и другой вымогатель, Trojan.

Winlock – это основные тренды этого года, причем заражаются ими и коммерческие организации, и административные органы.

Однозначно, троянцы-вымогатели – это самые популярные сейчас виды вредоносных программ, по крайней мере, в российском сегменте.

CNews: Пыталась ли компания “Доктор Веб” выйти на автора вируса и к каким результатам это привело? Почему до сих пор местоположение автора остается неизвестным?

Сергей Комаров: На самом деле компания не пыталась связаться с “Корректором”, и никаких централизованных шагов не предпринималось. Действительно, несколько сотрудников самостоятельно решили выйти на контакт с ним, но это ни к чему не привело.

Человек, выдающий себя за автора вируса, не позволил ничего про себя узнать. Найти его можно только по запросу правоохранительных органов, а для заведения уголовного дела нужно хотя бы одно заявление от пострадавших.

Мы не знаем, были ли они написаны, но в любом случае, если этот вирусописатель использует какие-либо средства для анонимизации своего компьютера, вычислить его местонахождение довольно проблематично.

Пользователи, которые часто к нам обращаются, уже переустановили свою систему, и на их компьютерах нет следов этого троянца. Кроме того, некоторые из них просто не хотят обращаться в милицию.

CNews: Недавно появилась информация, что автор троянца использует образ компании в своих продуктах в целях “черных PR-технологий”, например, подменяет почту, прикрываясь именем сотрудника компании. Расскажите, пожалуйста, об этом инциденте.

Владимир Мартьянов: У “Корректора” действительно был сайт, оформленный в фирменном стиле “Доктор Веб”, и с похожим названием – “Добрый доктор” или “Компьютерный доктор”. Инцидент с письмами имел место тогда, когда мы стали искать один сэмпл троянца и вышли на связь с якобы пострадавшей.

От нее мы получили ссылку на загрузку файла, который я запустил на виртуальной машине. Он не производил операции шифрования, а выводил нецензурные высказывания в мой адрес.

Буквально спустя несколько часов после этого на официальном форуме компании стали появляться сообщения, что от имени сотрудников производится почтовая рассылка.

  • Короткая ссылка
  • Распечатать

Источник: https://safe.cnews.ru/articles/virusnye_analitiki_vse_o__trojan.encoder

Трояны-шифровальщики

Trojan encoder дешифратор

Данная статья написана ведущим программистом нашей компании Михеевым Алексеем.
Надеемся, что информация, изложенная ниже поможет вам избежать серьезных последствий заражения вирусом-шифровальщиком.
Итак, приступим.Троянцы шифровальщики семейства Trojan.

Encoder появились в 2006-2007 годуНа данный момент существует около 1000 разновидностей.Самые совершенные троянцы используют проверенные временем и стойкие к атаке алгоритмы.Например, чтобы восстановить файлы зашифрованные трояном Encoder.

741 путем простого перебора потребуется 107902838054224993544152335601 год.По данным компании Dr.Web расшифровка возможна только в 10% случаев.Есть разновидности, которые уже успешно расшифровываются:Трояны – Trojan.Encoder.94, Trojan.Encoder.

293при заражении которыми возможно восстановление файлов в 90% случаев.Но, например, троянцы модификации Trojan.Encoder.556, Trojan.Encoder.686, Trojan.Encoder.858 вообще не позволяют восстановить файлы.

Бывает, что некоторые создатели шифровальщиков после оплаты не способны расшифровать файлы зашифрованные их детищем и отправляют их в техподдержку компании Dr.Web, которая имеет высокие результаты по восстановлению файлов.

Как происходит заражение.

Жертва заражается через спам-письмо с вложением (реже инфекционным путем).Вложение представляет собой архив, в котором:-либо файл-заставка с расширением scr., который при запуске распаковывает из себя файлы шифровальщики.-либо может быть js (ява-скрипт) файл, который скачивает все необходимое с сервера злоумышленников по интернету при запуске.

Последнее развитие шифровальщиков хранит все необходимое сразу во вложении в зашифрованном виде для создания проблемы антивирусам.В теме письма может значиться тревожные сообщения от банка, суда, налоговой и т.д. Также могут фигурировать эти же слова и в имени вложения.В архиве файлы маскируются под doc, xls, pdf, jpg и другие файлы.

Длину имени файла выбирают таким образом, чтобы при стандартных настройках окна архиватора было видно – .doc, а продолжение названия, где написано второе расширение (js, exe, scr, com) не видно пока не прокрутишь скролл.Но вот иконка файла внутри архива показывается из расчета настроек системы.

Подделать ее возможно, только если предварительно заразить атакуемый компьютер и подменить иконку отображения файлов scr и js на иконки word или excel файлов.

Примеры вложений:

Чаще всего потенциально вредоносный файл размещают в архиве, т.к. файлы, которые могут исполняться в системе – почтовые системы не пропускают.Вот что может быть в архиве:

В имя файла иногда добавляют название антивируса, которым якобы был предварительно проверен файл. Обязательно перед расширением, которое может бытьисполнено в системе указывают расширение ловушку, под которое маскируется документ.В указанном выше примере скрипт jаvascript маскируется под word файл.

Если бы ширина поля имени была уже, то было бы видно только расширение doc.

Так как система не была заражена перед атакой, то иконка явно указывает, что это вирус. Вполне явственно видно, что иконка файла в архиве нисколько не похожа на иконку вордовского документа.

Такой файл ни в коем случае открывать нельзя.

Более изощренные способы вложений:

В данном случае вложением является word-файл, а в нем уже находится вредоносный объект OLE (Object Linking and Embedding, произносится как oh-lay [олэй]), который предлагается открыть из документа word. Подробнее об OLE.

Если бы это действительно было резюме, то его приложили бы сразу.
Такой файл лучше показать сисадмину.

В данном случае пытаются решить проблему корректного отображения текста макросами, но здесь проблема шрифта. Такой файл также стоит показать сисадмину. Такой способ обработки файла вполне может быть и легальным.

Как они работают:Шифровальщик Trojan.Encoder.398Троянец-шифровальщик, написанный на языке Delphi, является, по всей видимости, развитием вредоносной программы Trojan.Encoder.225. Ключи для шифрования он получает с сервера злоумышленников по сети.При первом запуске копирует себя в папку %APPDATA%\ID\ с именем ID.

exe, где ID — серийный номер жесткого диска. Затем демонстрирует на экране сообщение о том, что архив поврежден, и запускает скопированный файл с каталогом по умолчанию C:\, после чего завершается.

Второй запущенный экземпляр троянца проверяет наличие каталога %APPDATA%\ID, получает серийный номер жесткого диска и отправляет его на сервер при помощи функции InternetOpenUrlA.

В ответ троянец получает от сервера конфигурационные данные в формате XML, содержащие параметры шифрования: e-mail для связи со злоумышленниками, ключ шифрования и номер алгоритма, который будет выбран для шифрования, а также часть расширения зашифрованных файлов (параметр ext).

После инициализации переменных начинается шифрование файлов. Шифрует только фиксированные диски (DRIVE_FIXED).

Не шифрует файлы в следующих каталогах:

$RECYCLE.BIN, Windows,Program Files (x86), Program Files, Games, ProgramData, UpdatusUser, AppData, Application Data, Cookies, Local Settings, NetHood, PrintHood, Recent, SendTo, Главное меню, Поиски, Ссылки, System Volume Information, Recovery, NVIDIA, Intel, DrWeb Quarantine, Config.Msi, All Users, Все пользователи.

Шифрует следующие типы файлов: ak|.BAK|.rtf|.RTF|.pdf|.PDF|.mdb|.MDB|.b2|.B2|.mdf|.MDF|.accdb|.ACCDB|.eap|.EAP|.swf|.SWF|.svg|.SVG|.odt|.ODT|.ppt|.PPT|.pptx|.PPTX|.xps|.XPS|.xls|.XLS|.cvs|.CVS|.dmg|.DMG|.dwg|.DWG|.md|.MD|.elf|.ELF|.

1CD|.1cd|.DBF|.dbf|.jpg|.JPG|.jpeg|.JPEG|.psd|.PSD|.rtf|.RTF|.MD|.dt|.DT|.cf|.CF|.max|.MAX|.dxf|.DXF|.dwg|.DWG|.dds|.DDS|.3ds|.3DS|.ai|.AI|.cdr|.CDR|.svg|.SVG|
.txt|.TXT|.csv|.CSV|.7z|.7Z|.tar|.TAR|.gz|.GZ|.bakup|.BAKUP|.djvu|.

DJVU|

Вредоносная программа может использовать следующие алгоритмы шифрования (в указанном порядке):1.    DES2.    RC23.    RC44.    RC55.    RC66.    3DES7.    Blowfish8.    AES (Rijndael)9.    ГОСТ 28147-8910.    IDEA11.    Tea12.    CAST-12813.    CAST-25614.    ICE15.    Twofish16.    Serpent17.    MARS

18.    MISTY1

После первоначального цикла шифрования всех дисков запускается второй цикл, в котором троянец шифрует базы данных 1С в каталогах Program Files и Program Files (x86).

Список расширений шифруемых файлов:

|.dbf|.DBF|.1cd|.1CD|.dt|.DT|.md|.MD|.dds|.DDS|

После зашифровки рядом с зашифрованными файлами появляется такое требование:
Все ваши файлы были зашифрованы с помощью криптостойкого алгоритма!
Расшифровать ваши файлы не зная уникальный для вашего ПК пароль невозможно!
Любая попытка изменить файл приведет к невозможности его восстановления!
Стоимость дешифратора 5000 рублей.
Купить дешифратор и пароль для расшифровки можно написав нам на email:
backyourfiles@aol.com
Если Вы хотите убедится в возможности восстановления ваших файлов, прикрепите к письму какой-нибудь зашифрованный файл и мы его расшифруем.

Шифровальщик BAT.Encoder.18Троянец-шифровальщик, распространяющийся под видом вложенного в электронные письма резюме. Представляет собой инсталляционный пакет NSIS. После запуска извлекает на компьютер пользователя следующие файлы:•    csrss.bat – основной файл троянца;•    svchost.

exe – переименованная утилита GPG;•    iconv.dll – библиотека для работы GPG;•    pubring.bak – данные для GPG;•    pubring.gpg – данные для GPG;•    random_seed – данные для GPG;•    secring.gpg – данные для GPG;•    trustdb.gpg – данные для GPG.csrss.

bat удаляет директорию %APPDATA%\gnupg\, уничтожая тем самым уже установленную утилиту GPG. Затем повторно создает каталог %APPDATA%\gnupg\ и копирует в него файлы pubring.bak, pubring.gpg,random_seed, secring.gpg, trustdb.gpg.

После этого троянец начинает процесс шифрования данных, для чего перебирает все диски, кроме диска A, и зашифровывает найденные на них файлы. Полученные в итоге файловые объекты имеют расширение *.gpg, которое заменяется на *.pzdc.

Также есть шифровальщик, который шифрует файлы и меняет расширение на vault.Такой шифровальщик, попадая на компьютер пользователя, скачивает также утилиту GPG и создает уникальный ключ для компьютера. Этот ключ отправляется на сервер злоумышленников расположенный за территорией РФ.

Затем шифровальщик сканирует диск и шифрует документы и картинки пользователя на локальном диске. При шифровании он составляет список зашифрованных файлов и также отправляет их на сервер злоумышленников.Сервер злоумышленников находится в защищенной сети TOR.

Стоимость восстановления зависит от количества файлов и считается в биткойнах (один из видов крипто-валюты (от Bitcoin: англ. bit — бит и coin — монета)).

Согласно уникальному ключу присланному троянцем злоумышленники могут идентифицировать каждый зараженный ПК и посчитать стоимость ущерба в каждом конкретном случае.

Виды шифрования:

Шифрование с помощью операции “XOR”

Начнем с программ, осуществляющих самое примитивное шифрование. Ярким представителем таких вредоносных программ является семейство Trojan-Ransom.Win32.Xorist. Оно обладает следующими характерными особенностями:

•    Xorist – один из немногих шифровальщиков, который выполняет свою угрозу и портит файлы пользователя при многократном неправильном введении пароля.•    Для шифрования используется операция “XOR”.

Уязвимостью этой криптосхемы является то, что возможно легкое дешифрование файлов за счет известных стандартных заголовков файлов. Чтобы противостоять этому, Xorist шифрует файлы не с самого начала, а с некоторым отступом. По умолчанию этот отступ составляет 104h байт, но может быть изменен при компиляции  вируса.

•    Для усложнения алгоритма шифрования используется рандомизация ключа с помощью первой буквы названия файла.

Фрагмент файла, зашифрованного шифровальщиком из семейства Xorist: отчетливо видна размерность ключа в 8 байт.

Симметричное шифрование.Симметричной схемой шифрования называется схема, при которой для шифрования и расшифровывания используется пара ключей, связанных соотношением симметрии (именно поэтому такая схема называется симметричной). В подавляющем большинстве случаев в таких схемах для шифрования и расшифровки используется один и тот же ключ.

Если ключ “вшит” в тело шифровальщика, то при наличии тела трояна (т.е. сохранился сам экземпляр вируса) можно достать из него ключ и создать эффективную утилиту для расшифровывания файлов. Такие вредоносные программы обычно стараются удалить сами себя после шифровки файлов.

Примером программ этого типа могут служить некоторые модификации семейства Rakhni.

Если же ключ получается с сервера злоумышленников либо генерируется и отправляется на него, то наличие образца вредоносной программы мало что дает – необходим экземпляр ключа, находящегося на сервере злоумышленников.

Если такой ключ удается восстановить (вредоносная программа, по понятным причинам, старается удалить такой ключ после использования), то создать утилиту для дешифровки возможно.

В этом случае также могут оказаться полезными системы, кэширующие интернет-трафик пользователей.

Асимметричное шифрование
Асимметричной схемой шифрования называется схема, при которой ключи шифрования и расшифровки не связаны очевидным соотношением симметрии. Ключ для шифрования называют открытым (или публичным), ключ для расшифровывания называют закрытым (или приватным).

 Вычисление закрытого ключа по известному открытому – очень сложная математическая задача, не решаемая за разумный срок на современных вычислительных мощностях.
В основе асимметричных криптосхем лежит так называемая однонаправленная функция с секретом.

Говоря простым языком – это некая математическая функция, зависящая от параметра (секрета).

Если секретный параметр не известен, значение функции относительно легко вычисляется в “прямом” направлении (по известному значению аргумента вычисляется значение функции) и чрезвычайно трудно вычисляется в “обратном” (по значению функции вычисляется значение аргумента).

Способы защиты:

•    Регулярно делайте резервные копии всех важных файлов и размещайте их на отдельном носителе вне компьютера.
•    Включите отображение расширений для зарегистрированных типов файлов. Это поможет вам контролировать, что присланный вам документ – действительно документ, а не исполняемый файл.

В этом необходимо убеждаться, даже если письмо получено от знакомого вам адресата. Внимательно смотрите на иконки файлов во вложениях прежде чем открывать их!
•    Относитесь с подозрением к ссылкам и вложениям из писем, получения которых вы не ждете. Любопытство и страх   это любимые “инструменты” злоумышленников, чтобы заставить пользователей забыть о бдительности и открыть вложение.

Если у вас возникло хоть малейшее подозрение в легитимности присланных вам файлов, стоит обратиться за помощью к системному администратору. Даже если тревога будет ложной, это все равно лучше, чем потеря всей информации на ПК.
•    Используйте последние версии антивирусных продуктов. Как правило, их эффективность возрастает с каждой новой версией за счет новых модулей.

•    Ну и наконец, дождитесь обновления антивирусных баз, прежде чем читать утреннюю почту.

А также Вы можете обратиться в нашу компанию за консультацией. Специалисты «Технограда» дадут все необходимые рекомендации по повышению сетевой безопасности, а также профессионально внедрят продукты для решения данной задачи.

Источник: https://www.tehgrad.ru/194-troyany-shifrovalschiki.html

Что такое Trojan.Encoder — информация и новости — часть 2 – Заметки Сис.Админа

Trojan encoder дешифратор

Откровенно говоря, я сегодня никак не ожидал столкнуться с, пожалуй, одной из последней модификацией этого вируса. Не так давно я немного уже упоминал о нём на своем сайте – пришло время рассказать побольше 🙂

Как я уже говорил – Trojan.Encoder – это троянская программа, которая шифрует пользовательские файлы. Разновидностей сего ужаса все больше и больше и всего их, по примерным подсчетам, уже около 8, а именно: Trojan.Encoder.19, Trojan.Encoder.20, Trojan.

Encoder.21, Trojan.Encoder.33, Trojan.Encoder — 43, 44 и 45 и последняя еще, как я понял, не пронумерована. Автором вируса является некий “Корректор”.

Немного информации по версиям (информация взята частично с сайта dr.web и частично с сайта comss.

ru):

Trojan.Encoder.19 – инфицировав систему, троянец оставляет текстовый файл crypted.txt с требованием заплатить 10$ за программу расшифровщик.

Очередная разновидность Trojan.Encoder.19 обходит все несъёмные носители и шифрует файлы с расширениями из следующего списка:
.jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .asf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar, .zip, .db, .mdb, .dbf, .dbx, .h, .c, .pas, .php, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .sol, .jbc, .txt, .pdf.

Trojan.Encoder.20 – новая версия троянской программы-вымогателя, в которой по сравнению с Trojan.Encoder.19 изменен механизм шифрования и генерации ключа.

Trojan.Encoder.21 – новая модификация троянца в файле crypted.txt, которая требует переводить деньги (89$) только с помощью определённой платёжной системы, указанной автором вируса, и не использовать такие системы как PAYPAL и наличные деньги.

Для распространения Trojan.Encoder.21 использует сайты, которые известны как активные дистрибьюторы троянцев. Прежние модификации применяли для этого одноразовые ссылки или ссылки с коротким временем работы. Данная особенность Trojan.Encoder.

21 может резко увеличить темпы его распространения.

Trojan.Encoder.33 шифрует данные пользователей, однако использует при этом новые механизмы. Опасности подвергаются файлы с расширением *.txt,*.jpg,*.jpeg,*.doc,*.docx,*.

xls, которые троянец переносит в папки:C:\Documents and Settings\Local Settings\Application Data\CDDC:\Documents and Settings\Local Settings\Application Data\FLR

В то же время оригинальные файлы заменяются сообщением “FileError_22001”.

В отличие от прежних модификаций, Trojan.Encoder.33 не выводит никаких сообщений с требованием заплатить различные суммы денег. При этом, функция шифрования данных пользователя осуществляется этим троянцем только в случае, если ему удается связаться с внешним сервером.

Последние отличаются от предыдущих новым ключом шифрования документов, а также новыми контактными данными злоумышленника. Специалисты “Доктор Веб” оперативно создали утилиты, позволяющие расшифровать файлы, доступ к которым был заблокирован новыми модификациями Trojan.Encoder.

Но особенно интересна еще одна, самая «свежая» модификация Trojan.Encoder. Эта версия троянской программы добавляет к зашифрованным файлам расширение .DrWeb. Вследствие успешного противодействия Trojan.Encoder со стороны антивируса Dr.

Web у автора, видимо, зародилось желание «напакостить» при помощи упоминания нашей торговой марки в названии зашифрованных файлов.

Кроме того, в распоряжении специалистов “Доктор Веб” оказалась ссылка на один из сайтов автора актуальных модификаций Trojan.Encoder.

Интересно, что владелец этого ресурса пытается ассоциировать себя с «Доктор Веб», используя образы паука и доктора, в то время как компания не имеет к подобным сайтам никакого отношения.

Очевидно, такое оформление используется для того, чтобы запутать неопытных пользователей и скомпрометировать компанию «Доктор Веб».

Злоумышленник всячески пытается предстать перед пострадавшими с положительной стороны — как человек, помогающий восстановить документы пользователей. На своем сайте он предлагает просмотреть ролик, в котором демонстрируется работа утилиты дешифровки документов, за которую вымогаются деньги.

По имеющимся сведениям можно предполагать, что вымоганием денег после шифрования файлов занимается один человек.

Аналитики компании «Доктор Веб» разработали утилиту дешифровки и предлагают всем пользователям бесплатно скачать её, чтобы восстановить свои файлы. Для удобства пользователей новая версия утилиты снабжена модулем графического интерфейса и носит название Trojan.Encoder Decrypt.

Я сегодня столкнулся с еще какой-то (возможно, что самой новой) версией этой пакости, которая мало того, что зашифровала всё нафиг – так еще и не имеет файла crypted.txt, который необходим программе-дешифровке от dr.web для того, чтобы обратно раскодировать файлы.

Более того, сия (или не сия, а какая-нибудь другая) штука напрочь заблокировала доступ к avz-ту и не дает никоим образом запустить его на компьютере.

Невозможно ни распаковать скачанный архив с avz, ни залить на компьютер напрямую папку, короче упирается ногами и руками, отрезая avz-ту базы, которые живут в папке Base и имеют расширение .avz. Хитрость с переименовыванием расширения или удаленным запуском тоже не возымела действия. Пришлось крутится.

После разворачивания на компьютере программного комплекса Dr.web Сureit + spybot и тщательной очистки оными без единой перезагрузки компьютера (это важно), а так же после ручного выгрызания левых процессов, элементов автозагрузки, модулей пространства ядра и прочих ужасов жизни avz таки удалось запустить.

Комплексный анализ системы по средством оного выявил целую тучку бед, вывел ряд вирусов (сам Encoder был вычищен drweb'ом), но.. Дешифровать файлы специальной программой не выходит в силу отсутствия crypted.txt или любого другого близкого к оному файла. А другого решения я пока не знаю.

Посему, всем заразившимся, настоятельно рекомендую для начала воспользоваться связкой Dr.web Сureit + spybot, а затем обратится напрямую в компанию dr.web за помощью в дешифровке файлов. Обещают помочь и совершенно бесплатно.

Где пользователь подцепил сей вирус я, к сожалению, не знаю.

Спасибо за внимание и держите свой компьютер в безопасности. Это важно.

Источник: https://sonikelf.ru/trojan-encoder-novosti-s-polej/

Ответ компании DrWeb о троянцах-шифровальщиках семейства Encoder. Возможно ли восстановить файлы

Trojan encoder дешифратор

“Салют буржуа! Наши быстроходные катера, атаковали ваш файловоз. Ваш компьютер взят на абордаж командой Африканских пиратов…”. Текст сообщения – дурь редкостная, однако от этого не легче. Тема троянцев-шифровальщиков продолжает набирать обороты в сети.

Сейчас, когда данный вид вымогательства стал сильно популярен, любителям кликать по всем ссылкам без разбора остается только пожелать удачи.

Впрочем, только безвозвратно потеряв важные файлы и можно научить людей делать резервные копии и думать, прежде чем открыть очередной мега-ускоритель-интернета, узнать секретный способ сказочного обогащения не отрывая жопы от стула или скачать супер-сжигатель жира с беспроигрышного интернет-казино.

Буквально месяц назад писал об одном из способов распространения данной заразы с помощью поддельных писем из арбитражного суда. Прошло чуть более года с того момента когда я впервые столкнулся с вирусами шифровальщиками и на тот момент не было вообще никаких инструментов, дающих хоть какой-то шанс на восстановление данных.

Сейчас уже есть некоторые позитивные сдвиги в борьбе с вымогателями, однако это всё-равно большая лотерея. Компания DrWeb продолжает оказывать бесплатные услуги по расшифровке (если есть возможность), однако с 19 июня 2013 года к рассмотрению принимаются только заявки от владельцев коммерческих лицензий на продукты Dr.Web. Привожу ссылку, по которой можно подать заявку:

https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1

Один мой знакомый попросил помочь ему в расшифровке файлов, зашифрованных накануне. Вот и решил проверить работу службу DrWeb, надо сказать что ответ пришел довольно быстро (буквально через пару часов) правда и не утешительный:

Добрый день!
Благодарим за обращение в техническую поддержку “Доктор Веб”.

Файлы зашифрованы одним из новых вариантов троянской программы Trojan.Encoder.293

На данный момент у нас нет способа их расшифровать. Также, увы, нет никакой надежды, что кто-либо сможет подобрать/вычислить ключ для расшифровки – эффективных алгоритмов факторизации для шифра RSA современной науке не известно.

Ключ для расшифровки данных, зашифрованных Encoder.102, можно получить/изъять только у автора троянца.

Таким образом, основная рекомендация: обратитесь с заявлением в территориальное управление “К” МВД РФ по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.

Образцы заявлений, а также ссылка на госпортал (“Порядок приема сообщений о происшествии в органах внутренних дел РФ”) есть на нашем сайте: http://legal.drweb.com/templates

Возможно, в результате полицейской акции поймают автора/”хозяина” троянца и выяснят у него шифроключ.

Существует возможность частичного восстановления (реконструкции) некоторых файлов, зашифрованных encoder.293, без их расшифровки (расшифровка без приватной половины ключевой пары невозможна). Только некоторых, и только частично.

Фактически такой подход основывается на том, что шифровщик типа Encoder.102/293 вносит в файл относительно немного изменений. И т.к.

в данные внесено относительно немного изменений, локализованных в известных местах файла, то на это можно посмотреть просто как на повреждение файла, которое, возможно, поддается исправлению.

При этом следует иметь в виду, что реконструированный файл никогда не возвращается в исходное, как было до зашифровки, состояние.

Особенно актуально для офисных doc/xls, в которых после реконструкции могут измениться данные на первых страницах. Было написано 100, а станет 500 – такое запросто может случиться.

Наша утилита, которая кое-что умеет делать в этом плане:

http://download.geo.drweb.com/pub/drweb/tools/te102decrypt.exe

Способ её применения в вашем случае следующий:
te102decrypt.exe -k h49 -e .SOS@AUSI.COM_FG177

или:
te102decrypt.exe -k h49 -e .SOS@AUSI.COM_FG177 -path D:\Path

– так деятельность реконструктора ограничится только тем, что найдется в указанном каталоге D:\Path

Результаты сохраняются в новые файлы по принципу:

“документ.doc.SOS@AUSI.COM_FG177” (зашифрованный) => “документ.doc” (реконструированный)

С учетом этого требуется дополнительное свободное место на диске. В лучшем случае te102decrypt сможет восстановить кое-что из файлов формата jpg/doc/xls/dbf (часть данных может быть потеряна, но количество потерь сведено к минимуму). Не более того.

Что касается зашифрованных zip-архивов. То, что можно из них вытащить без расшифровки, способен вытащить архиватор 7zip. Непосредственно распаковать прямо из зашифрованных. В данном случае должно быть возможно вытащить из зашифрованного zip-архива все файлы, кроме первого, и, быть может, еще нескольких из начала архива. Пока это всё, чем мы можем вам помочь.

С уважением, служба технической поддержки компании “Доктор Веб”.

В письме встречается .SOS@AUSI.COM_FG177 – это расширение, которое получили зашифрованные файлы. С помощью утилиты te102decrypt.exe всё-таки удалось восстановить пару файлов из тех, которые мне прислали. Так что попробовать стоит, хуже не будет. Такие дела…

Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.

Массовые взломы MODX Revolution. Как восстановить и обезопасить свой сайт?CCleaner следит за тобой[Скрытая угроза] Майнеры криптовалют в браузерах.Как игнорировать изменение шлюза OpenVPN на стороне клиентаСбой в алгоритме Яндекса заставил пользователей понервничатьКак удалить Avast! с компьютера

Источник: https://mdex-nn.ru/page/fajly-zashifrovany-trojan-encoder.html

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.