Trojan.Encoder – новини з полів.

Відверто кажучи, я сьогодні ніяк не чекав зіткнутися з, мабуть, однією з останньої модифікацією цього вірусу. Не так давно я трохи вже згадував про нього на своєму сайті - прийшов час розповісти побільше

Як я вже говорив - Trojan.Encoder - це троянська програма, яка шифрує призначені для користувача файли. Різновидів цього жаху все більше і більше і всього їхнього, за приблизними підрахунками, вже близько 8, а саме: Trojan.Encoder.19, Trojan.Encoder.20, Trojan.Encoder.21, Trojan.Encoder.33, Trojan.Encoder - 43, 44 і 45 і остання ще, як я зрозумів, не пронумерована. Автором вірусу є якийсь "Коректор".

Трохи інформації за версіями (інформація взята частково з сайту dr.web і частково з сайту comss.ru):

Trojan.Encoder.19 - інфікувавши систему, троянець залишає текстовий файл crypted.txt з вимогою заплатити 10 $ за програму расшіфровщік.

Чергова різновид Trojan.Encoder.19 обходить всі незнімні носії та шифрує файли з розширеннями з наступного списку:
. Jpg,. Jpeg,. Psd,. Cdr,. Dwg,. Max,. Mov, . m2v, .3 gp,. asf,. doc,. docx,. xls,. xlsx,. ppt,. pptx,. rar,. zip,. db,. mdb,. dbf,. dbx,. h,. c ,. pas,. php,. mp3,. cer,. p12,. pfx,. kwm,. pwm,. sol,. jbc,. txt,. pdf.

Trojan.Encoder.20 - нова версія троянської програми-вимагача, в якій в порівнянні з Trojan.Encoder.19 змінено механізм шифрування і генерації ключа.

Trojan.Encoder.21 - нова модифікація троянця у файлі crypted.txt, яка вимагає переводити гроші (89 $) тільки за допомогою певної платіжної системи, зазначеної автором вірусу, і не використовувати такі системи як PAYPAL та готівкові гроші . Для поширення Trojan.Encoder.21 використовує сайти, які відомі як активні дистриб'ютори троянців. Колишні модифікації застосовували для цього одноразові посилання або посилання з коротким часом роботи. Дана особливість Trojan.Encoder.21 може різко збільшити темпи його поширення.

Trojan.Encoder.33 шифрує дані користувачів, однак використовує при цьому нові механізми. Небезпеки піддаються файли з розширенням *. txt, *. jpg, *. jpeg, *. doc, *. docx, *. xls, які троянець переносить у папки:
C: Documents and Settings Local Settings Application Data CDD
C: Documents and Settings Local Settings Application Data FLR
У той же час оригінальні файли замінюються сполученням "FileError_22001".

На відміну від колишніх модифікацій, Trojan.Encoder.33 не виводить ніяких повідомлень з вимогою заплатити різні суми грошей. При цьому, функція шифрування даних користувача здійснюється цим троянцем тільки у випадку, якщо йому вдається зв'язатися із зовнішнім сервером.

Останні відрізняються від попередніх новим ключем шифрування документів, а також новими контактними даними зловмисника. Фахівці "Доктор Веб" оперативно створили утиліти, що дозволяють розшифрувати файли, доступ до яких був заблокований новими модифікаціями Trojan.Encoder. Але особливо цікава ще одна, сама «свіжа» модифікація Trojan.Encoder. Ця версія троянської програми додає до зашифрованих файлів розширення. DrWeb. Внаслідок успішної протидії Trojan.Encoder з боку антивіруса Dr.Web у автора, мабуть, зародилося бажання «напаскудити» за допомогою згадки нашої торгової марки в назві зашифрованих файлів.

Крім того, у розпорядженні фахівців "Доктор Веб" виявилася посилання на один із сайтів автора актуальних модифікацій Trojan.Encoder. Цікаво, що власник цього ресурсу намагається асоціювати себе з «Доктор Веб», використовуючи образи павука і доктора, у той час як компанія не має до подібних сайтів ніякого відношення. Очевидно, таке оформлення використовується для того, щоб заплутати недосвідчених користувачів та скомпрометувати компанію «Доктор Веб».

Зловмисник всіляко намагається постати перед постраждалими з позитивного боку - як людина, що допомагає відновити документи користувачів. На своєму сайті він пропонує просмортеть ролик, в якому демонструється робота утиліти дешифрування документів, за який вимагав гроші.

За наявними відомостями можна припускати, що вимаганням грошей після шифрування файлів займається одна людина.

Аналітики компанії «Доктор Веб» розробили утиліту дешифрування і пропонують всім користувачам безкоштовно завантажити її, щоб відновити свої файли. Для зручності користувачів нова версія утиліти забезпечена модулем графічного інтерфейсу і носить названіеTrojan.Encoder Decrypt.

Я сьогодні зіткнувся з ще якийсь (можливо, що самої нової) версією цієї капості, яка мало того, що зашифрована всі нафіх - так ще й не має файлу crypted.txt, який необхідний програмі-дешевровке від dr.web для того, щоб назад розкодувати файли. Більше того, ця (чи не ця, а яка-небудь інша) штука геть заблокувала доступ до avz-ту і не дає жодним чином запустити його на комп'ютері. Неможливо ні розпакувати завантажений архів з avz, ні залити на комп'ютер безпосередньо папку, коротше упирається ногами і руками, відрізаючи avz-ту бази, які живуть в папці Base і мають розширення. Avz. Хитрість з перейменування розширення або віддаленим запуском теж не подіяли. Довелося крутиться. Після розгортання на комп'ютері програмного комплексу Dr.web Сureit + spybot і ретельного очищення оними без єдиної перезавантаження комп'ютера (це важливо), а так само після ручного вигризанія лівих процесів, елементів автозавантаження, модулів простору ядра і інших жахів життя avz таки вдалося запустити. Комплексний аналіз системи по засобом оного виявив цілу хмарку бід, вивів ряд вірусів (сам Encoder був вичищений drweb'ом), але .. Дешифрувати файли спеціальною програмою не виходить через відсутність crypted.txt або будь-якого іншого близького до оному файлу. А іншого рішення я поки не знаю.

Тому, всім тих, що заразилися, настійно рекомендую для початку скористатися зв'язкою Dr.web Сureit + spybot, а потім звернеться безпосередньо до компанії dr.web за допомогою в дешифрування файлів. Обіцяють допомогти і абсолютно безкоштовно.

Де користувач підчепив цей вірус я, на жаль, не знаю.

Спасибо за увагу і тримаєте свій комп'ютер в безпеці. Це важливо.

Можливо, це може Вам у пригоді: шукайте собі радіатор недорого і швидко? Заходьте і беріть! | | | Для Вас Атлант в Одесі зробить багато чого

За матеріалами sonikelf.ru