Что такое Trojan.Encoder — информация и новости — часть 2

Откровенно говоря, я сегодня никак не ожидал столкнуться с, пожалуй, одной из последней модификацией этого вируса. Не так давно я немного уже упоминал о нём на своем сайте - пришло время рассказать побольше :)

trojan

Как я уже говорил - Trojan.Encoder - это троянская программа, которая шифрует пользовательские файлы. Разновидностей сего ужаса все больше и больше и всего их, по примерным подсчетам, уже около 8, а именно: Trojan.Encoder.19, Trojan.Encoder.20, Trojan.Encoder.21, Trojan.Encoder.33, Trojan.Encoder — 43, 44 и 45 и последняя еще, как я понял, не пронумерована. Автором вируса является некий "Корректор".

Немного информации по версиям (информация взята частично с сайта dr.web и частично с сайта comss.ru):

Trojan.Encoder.19 - инфицировав систему, троянец оставляет текстовый файл crypted.txt с требованием заплатить 10$ за программу расшифровщик.

Очередная разновидность Trojan.Encoder.19 обходит все несъёмные носители и шифрует файлы с расширениями из следующего списка:
.jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .asf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar, .zip, .db, .mdb, .dbf, .dbx, .h, .c, .pas, .php, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .sol, .jbc, .txt, .pdf.

Trojan.Encoder.20 - новая версия троянской программы-вымогателя, в которой по сравнению с Trojan.Encoder.19 изменен механизм шифрования и генерации ключа.

Trojan.Encoder.21 - новая модификация троянца в файле crypted.txt, которая требует переводить деньги (89$) только с помощью определённой платёжной системы, указанной автором вируса, и не использовать такие системы как PAYPAL и наличные деньги. Для распространения Trojan.Encoder.21 использует сайты, которые известны как активные дистрибьюторы троянцев. Прежние модификации применяли для этого одноразовые ссылки или ссылки с коротким временем работы. Данная особенность Trojan.Encoder.21 может резко увеличить темпы его распространения.

Trojan.Encoder.33 шифрует данные пользователей, однако использует при этом новые механизмы. Опасности подвергаются файлы с расширением *.txt,*.jpg,*.jpeg,*.doc,*.docx,*.xls, которые троянец переносит в папки:
C:\Documents and Settings\Local Settings\Application Data\CDD
C:\Documents and Settings\Local Settings\Application Data\FLR
В то же время оригинальные файлы заменяются сообщением "FileError_22001".

В отличие от прежних модификаций, Trojan.Encoder.33 не выводит никаких сообщений с требованием заплатить различные суммы денег. При этом, функция шифрования данных пользователя осуществляется этим троянцем только в случае, если ему удается связаться с внешним сервером.

Последние отличаются от предыдущих новым ключом шифрования документов, а также новыми контактными данными злоумышленника. Специалисты "Доктор Веб" оперативно создали утилиты, позволяющие расшифровать файлы, доступ к которым был заблокирован новыми модификациями Trojan.Encoder. Но особенно интересна еще одна, самая «свежая» модификация Trojan.Encoder. Эта версия троянской программы добавляет к зашифрованным файлам расширение .DrWeb. Вследствие успешного противодействия Trojan.Encoder со стороны антивируса Dr.Web у автора, видимо, зародилось желание «напакостить» при помощи упоминания нашей торговой марки в названии зашифрованных файлов.

Кроме того, в распоряжении специалистов "Доктор Веб" оказалась ссылка на один из сайтов автора актуальных модификаций Trojan.Encoder. Интересно, что владелец этого ресурса пытается ассоциировать себя с «Доктор Веб», используя образы паука и доктора, в то время как компания не имеет к подобным сайтам никакого отношения. Очевидно, такое оформление используется для того, чтобы запутать неопытных пользователей и скомпрометировать компанию «Доктор Веб».

Злоумышленник всячески пытается предстать перед пострадавшими с положительной стороны — как человек, помогающий восстановить документы пользователей. На своем сайте он предлагает просмотреть ролик, в котором демонстрируется работа утилиты дешифровки документов, за которую вымогаются деньги.

По имеющимся сведениям можно предполагать, что вымоганием денег после шифрования файлов занимается один человек.

Аналитики компании «Доктор Веб» разработали утилиту дешифровки и предлагают всем пользователям бесплатно скачать её, чтобы восстановить свои файлы. Для удобства пользователей новая версия утилиты снабжена модулем графического интерфейса и носит название Trojan.Encoder Decrypt.

Я сегодня столкнулся с еще какой-то (возможно, что самой новой) версией этой пакости, которая мало того, что зашифровала всё нафиг - так еще и не имеет файла crypted.txt, который необходим программе-дешифровке от dr.web для того, чтобы обратно раскодировать файлы. Более того, сия (или не сия, а какая-нибудь другая) штука напрочь заблокировала доступ к avz-ту и не дает никоим образом запустить его на компьютере. Невозможно ни распаковать скачанный архив с avz, ни залить на компьютер напрямую папку, короче упирается ногами и руками, отрезая avz-ту базы, которые живут в папке Base и имеют расширение .avz. Хитрость с переименовыванием расширения или удаленным запуском тоже не возымела действия. Пришлось крутится. После разворачивания на компьютере программного комплекса Dr.web Сureit + spybot и тщательной очистки оными без единой перезагрузки компьютера (это важно), а так же после ручного выгрызания левых процессов, элементов автозагрузки, модулей пространства ядра и прочих ужасов жизни avz таки удалось запустить. Комплексный анализ системы по средством оного выявил целую тучку бед, вывел ряд вирусов (сам Encoder был вычищен drweb'ом), но.. Дешифровать файлы специальной программой не выходит в силу отсутствия crypted.txt или любого другого близкого к оному файла. А другого решения я пока не знаю.

Посему, всем заразившимся, настоятельно рекомендую для начала воспользоваться связкой Dr.web Сureit + spybot, а затем обратится напрямую в компанию dr.web за помощью в дешифровке файлов. Обещают помочь и совершенно бесплатно.

Где пользователь подцепил сей вирус я, к сожалению, не знаю.

Спасибо за внимание и держите свой компьютер в безопасности. Это важно.

Sonikelf's Project's логотип Sonikelf's Project's логотип Космодамианская наб., 32-34 Россия, Москва (916) 174-8226
iona43

Соник, спасибо! Сам использую д-р вэб, после описания вируса понимаю, что этот антивирус скорее всего от него защитит.

Сергей

Нужно оживить комп.
Вирус 4460 K706313100

Валентина

В моем ноутбуке установлен Касперский, Могу я применить утилиту дешифровки?

Sonikelf

Да, можете.

PokerFace

Спасибо за статью.
Столкнулась,как раз с последней формой вируса.Только AVZ отлично скачивается и сканируется.
Расстроенна.Теперь буду следить за безопасностью своего компьютера и жизненно необходимых файлов.
Зашифрованные файлы не буду удалять,подожду.Может найдут леарство от этого ужаса.
)))

Лексей

Спасибо за предупреждение.Появился вопрос:если переустановить Виндовс и начисто затереть системный диск,то при новой установке файлы,зашифрованные вирусом также будут недоступны?
На мой взгляд,НАМНОГО правильней пожертвовать системой,нежели данными.

dREAMJkE

А сейчас с помощью каких программ можно решить данную проблему?

Юрий

Благодарствуем,что есть бескорыстные люди на Земле!

Vlad

Я наткнулся на последний тип , ето ссылка на архив с файлом - вирусом , который лучше не запускать вам =) тут вирус выступает под предлогом программы для набора сеордечек вуонтакте тк фвчит уже не работает я решил искать другую прогу (мож и наткнусь=) ) теперь ко всем файлам форматов .txt .doc .avi . mp4 .mp3 .rar .zip .jpg .bmp .3gp и ето ещё далеко не все форматы файлов которые были заражены вирусом , на рабочем столе появился файл как росшифровать данные .тхт там написано:
Внимание! Все Ваши файлы зашифрованы!
Чтобы восстановить свои файлы и получить к ним доступ,
отправьте смс с текстом 772602110754 на номер 5537

У вас есть 5 попыток ввода кода. При превышении этого
количества, все данные необратимо испортятся. Будьте
внимательны при вводе кода!

ну я не лох я не отправлял , но в инете я даже не нашел описания етого вируса , нету названия ему тк я вижу ето новый тип вируса который начал роспостранятся недавно я обращался в др-веб и ничего они какуюто ахинею прислали , я ничего не должен делать но мне надо хоть както ввернуть данные которые были сожраны вирусом =(

oleg1611

Вчера дочура хапнула сей вирус без сообщения... avz запустился без проблем но ничего не нашёл вообще.. уже часов 10 кручу Др.Веб и поставил спайбот.. файл отправил в Др.Веб - надеюсь помогут.... Странно но у меня графические файлы не тронул

white-wulf

Здравствуйте.Ссылка не рабочая на эту утилиту по дешифровке.

Хитрый Хомяк

В последние месяцы судя по гуглу и прочим поисковикам сие чудо активизировалось, причем значительно на территории России... и в принципе мне было бы абсолютно все равно, форматнул и ладно...но как на зло на компе остались некоторые рабочие psdшники и рукотворное чудо под названием PRIEST.COM_337 шифранул их все... благо заказчик вменяемый, согласился подождать, пока не появится дешифратор))

Maf

Енкодеры активизировались в последнее время. К сожалению последние модификации шифруют так, что файлы дешифровке не поддаются, лаборатория drWeb опустила руки https://forum.drweb.com/index.php?showtopic=319872&page=14

EnsiferuM

Поймал тут недавно кто-то из почты какую-то разновредность Encoder'а, которая шифрует файлы в .cbf, название получившегося содержит кучу рандомной бредятины. Похоже на то, что это 568-й энкодер или что-то схожее, которое ещё не дешифровано. Свернуть бы рыло на сторону тому, кто такие вирусы пишет, а?

Александр

Не получается скачать файл с их ФТП... :(
Выложите кто нибудь?