Заметки Сис.Админа Актуальные материалы о сетевой безопасности, интернет-защите, защите от вирусов и spyware, программах, оптимизации, настройке и очистке компьютера. Авторские статьи в области компьютерной безопасности.

Trojan.Encoder – новости о вирусе

Откровенно говоря, я сегодня никак не ожидал столкнуться с, пожалуй, одной из последней модификацией этого вируса. Не так давно я немного уже упоминал о нём на своем сайте – пришло время рассказать побольше

Как я уже говорил - Trojan.Encoder – это троянская программа, которая шифрует пользовательские файлы. Разновидностей сего ужаса все больше и больше и всего их, по примерным подсчетам, уже около 8, а именно: Trojan.Encoder.19, Trojan.Encoder.20, Trojan.Encoder.21, Trojan.Encoder.33, Trojan.Encoder — 43, 44 и 45 и последняя еще, как я понял, не пронумерована. Автором вируса является некий “Корректор“.

Немного информации по версиям (информация взята частично с сайта dr.web и частично с сайта comss.ru):

Trojan.Encoder.19 – инфицировав систему, троянец оставляет текстовый файл crypted.txt с требованием заплатить 10$ за программу расшифровщик.

Очередная разновидность Trojan.Encoder.19 обходит все несъёмные носители и шифрует файлы с расширениями из следующего списка:
.jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .asf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar, .zip, .db, .mdb, .dbf, .dbx, .h, .c, .pas, .php, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .sol, .jbc, .txt, .pdf.

Trojan.Encoder.20 – новая версия троянской программы-вымогателя, в которой по сравнению с Trojan.Encoder.19 изменен механизм шифрования и генерации ключа.

Trojan.Encoder.21 – новая модификация троянца в файле crypted.txt, которая требует переводить деньги (89$) только с помощью определённой платёжной системы, указанной автором вируса, и не использовать такие системы как PAYPAL и наличные деньги. Для распространения Trojan.Encoder.21 использует сайты, которые известны как активные дистрибьюторы троянцев. Прежние модификации применяли для этого одноразовые ссылки или ссылки с коротким временем работы. Данная особенность Trojan.Encoder.21 может резко увеличить темпы его распространения.

Trojan.Encoder.33 шифрует данные пользователей, однако использует при этом новые механизмы. Опасности подвергаются файлы с расширением *.txt,*.jpg,*.jpeg,*.doc,*.docx,*.xls, которые троянец переносит в папки:
C:\Documents and Settings\Local Settings\Application Data\CDD
C:\Documents and Settings\Local Settings\Application Data\FLR
В то же время оригинальные файлы заменяются сообщением “FileError_22001″.

В отличие от прежних модификаций, Trojan.Encoder.33 не выводит никаких сообщений с требованием заплатить различные суммы денег. При этом, функция шифрования данных пользователя осуществляется этим троянцем только в случае, если ему удается связаться с внешним сервером.

Последние отличаются от предыдущих новым ключом шифрования документов, а также новыми контактными данными злоумышленника. Специалисты “Доктор Веб” оперативно создали утилиты, позволяющие расшифровать файлы, доступ к которым был заблокирован новыми модификациями Trojan.Encoder. Но особенно интересна еще одна, самая «свежая» модификация Trojan.Encoder. Эта версия троянской программы добавляет к зашифрованным файлам расширение .DrWeb. Вследствие успешного противодействия Trojan.Encoder со стороны антивируса Dr.Web у автора, видимо, зародилось желание «напакостить» при помощи упоминания нашей торговой марки в названии зашифрованных файлов.

Кроме того, в распоряжении специалистов “Доктор Веб” оказалась ссылка на один из сайтов автора актуальных модификаций Trojan.Encoder. Интересно, что владелец этого ресурса пытается ассоциировать себя с «Доктор Веб», используя образы паука и доктора, в то время как компания не имеет к подобным сайтам никакого отношения. Очевидно, такое оформление используется для того, чтобы запутать неопытных пользователей и скомпрометировать компанию «Доктор Веб».

Злоумышленник всячески пытается предстать перед пострадавшими с положительной стороны — как человек, помогающий восстановить документы пользователей. На своем сайте он предлагает просмортеть ролик, в котором демонстрируется работа утилиты дешифровки документов, за которую вымогаются деньги.

По имеющимся сведениям можно предполагать, что вымоганием денег после шифрования файлов занимается один человек.

Аналитики компании «Доктор Веб» разработали утилиту дешифровки и предлагают всем пользователям бесплатно скачать её, чтобы восстановить свои файлы. Для удобства пользователей новая версия утилиты снабжена модулем графического интерфейса и носит название Trojan.Encoder Decrypt.

Я сегодня столкнулся с еще какой-то (возможно, что самой новой) версией этой пакости, которая мало того, что зашифровала всё нафих – так еще и не имеет файла crypted.txt, который необходим программе-дешевровке от dr.web для того, чтобы обратно раскодировать файлы. Более того, сия (или не сия, а какая-нибудь другая) штука напрочь заблокировала доступ к avz-ту и не дает никоим образом запустить его на компьютере. Невозможно ни распаковать скачанный архив с avz, ни залить на компьютер напрямую папку, короче упирается ногами и руками, отрезая avz-ту базы, которые живут в папке Base и имеют расширение .avz. Хитрость с переименовыванием расширения или удаленным запуском тоже не возымела действия. Пришлось крутится. После разворачивания на компьютере программного комплекса Dr.web Сureit + spybot и тщательной очистки оными без единой перезагрузки компьютера (это важно), а так же после ручного выгрызания левых процессов, элементов автозагрузки, модулей пространства ядра и прочих ужасов жизни avz таки удалось запустить. Комплексный анализ системы по средством оного выявил целую тучку бед, вывел ряд вирусов (сам Encoder был вычищен drweb’ом), но.. Дешифровать файлы специальной программой не выходит в силу отсутствия crypted.txt или любого другого близкого к оному файла. А другого решения я пока не знаю.

Посему, всем заразившимся, настоятельно рекомендую для начала воспользоваться связкой Dr.web Сureit + spybot, а затем обратится напрямую в компанию dr.web за помощью в дешифровке файлов. Обещают помочь и совершенно бесплатно.

Где пользователь подцепил сей вирус я, к сожалению, не знаю.

Спасибо за внимание и держите свой компьютер в безопасности. Это важно.

Возможно, это может Вам пригодится: ищите себе радиатор недорого и быстро? Заходите и берите! ||| Для Вас Атлант в Одессе сделает многое