"Доктор Веб" выпустил бесплатную утилиту дешифровки от новой версии троянца-вымогателя Trojan.Encoder.19
Компания «Доктор Веб» сообщает о появлении нового троянца, который шифрует пользовательские файлы. В классификации компании «Доктор Веб» троянская программа получила название Trojan.Encoder.19. Инфицировав систему, троянец оставляет текстовый файл crypted.txt с требованием заплатить 10$ за программу расшифровщик.
Как использовать утилиту
Запустите расшифровку файлов на всем диске C:. Для этого запустите программу, со следующими параметрами командной строки:
Файлы на диск С: будут расшифрованы. По окончании работы утилиты рядом с шифрованными файлами.crypt должны появиться расшифрованные файлы без окончания.crypt. Шифрованные файлы удалять не надо, т.к. не исключена возможность некорректной расшифровки.
Если Вам не удалось расшифровать некоторые файлы, просим присылать на адрес [email protected] файл crypted.txt из корня диска C: и несколько образцов зашифрованных файлов.
(Информация со страницы производителя)
Эта программа была предложена: Wiper_off
Данное описание, скорее всего, было написано пользователем и потому может отличаться от мнения редакции loadion.com. Пожалуйста, имейте в виду, что эта площадка может использоваться только в легальных целях и мы дистанцируемся от любого неправомерного использования.
Если система заражена вредоносной программой семейств Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl или Trojan-Ransom.Win32.CryptXXX, все файлы на компьютере будут зашифрованы следующим образом:
Утилита RannohDecryptor предназначена для расшифровки файлов после заражения Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl или Trojan-Ransom.Win32.CryptXXX версии 1, 2 и 3.
Чтобы вылечить зараженную систему:
Если файл был зашифрован Trojan-Ransom.Win32.Cryakl, утилита сохранит файл на старом месте с расширением.decryptedKLR.оригинальное_расширение. Если вы выбрали Удалять зашифрованные файлы после успешной расшифровки , трасшифрованный файл будет сохранен утилитой с оригинальным именем.
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt
В системе, зараженной Trojan-Ransom.Win32.CryptXXX, утилита сканирует ограниченное количество форматов файлов. При выборе пользователем файла, пострадавшего от CryptXXX v2, восстановление ключа может занять продолжительное время. В этом случае утилита показывает предупреждение.
Дешифровщик Windows Trojan.Encoder.19 — утилита дешифровки от компании «Доктор Веб» для троянской программы Trojan.Encoder.19. Инфицировав систему, троянец оставляет текстовый файл crypted.txt с требованием заплатить 10$ за программу-дешифровщик:
Ваши файлы зашифрованы! Дешифратор стоит 10$! Подробнее: http://decryptor.****** E-mail: decryptor2008@****** ICQ: ******* S/N BF_3-pUChT$+bm5 Не удаляйте и не изменяйте этот файл!!!
ВНИМАНИЕ! Категорически не рекомендуем платить злоумышленникам выкуп. Кроме того, мы настоятельно просим пользователей не пытаться переустановить систему и восстанавливать ее из резервных копий, а обратиться за помощью в техподдержку, либо в специальный раздел официального форума компании «Доктор Веб».
Если Вам не удалось расшифровать некоторые файлы, просим присылать на адрес [email protected] файл crypted.txt из корня диска C: и несколько образцов зашифрованных файлов.
Откровенно говоря, я сегодня никак не ожидал столкнуться с, пожалуй, одной из последней модификацией этого вируса. Не так давно я немного уже о нём на своем сайте - пришло время рассказать побольше:)
Как я уже говорил - Trojan.Encoder
- это троянская программа, которая шифрует пользовательские файлы. Разновидностей сего ужаса все больше и больше и всего их, по примерным подсчетам, уже около 8
, а именно: Trojan.Encoder.19
, Trojan.Encoder.20
, Trojan.Encoder.21
, Trojan.Encoder.33
, Trojan.Encoder - 43, 44
и 45
и последняя еще, как я понял, не пронумерована. Автором вируса является некий "Корректор
".
Немного информации по версиям (информация взята частично с сайта и частично с сайта ):
Trojan.Encoder.19 - инфицировав систему, троянец оставляет текстовый файл crypted.txt с требованием заплатить 10$ за программу расшифровщик.
Очередная разновидность Trojan.Encoder.19 обходит все несъёмные носители и шифрует файлы с расширениями из следующего списка:
.jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .asf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar, .zip, .db, .mdb, .dbf, .dbx, .h, .c, .pas, .php, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .sol, .jbc, .txt, .pdf.Trojan.Encoder.20 - новая версия троянской программы-вымогателя, в которой по сравнению с Trojan.Encoder.19 изменен механизм шифрования и генерации ключа.
Trojan.Encoder.21 - новая модификация троянца в файле crypted.txt , которая требует переводить деньги (89$) только с помощью определённой платёжной системы, указанной автором вируса, и не использовать такие системы как PAYPAL и наличные деньги. Для распространения Trojan.Encoder.21 использует сайты, которые известны как активные дистрибьюторы троянцев. Прежние модификации применяли для этого одноразовые ссылки или ссылки с коротким временем работы. Данная особенность Trojan.Encoder.21 может резко увеличить темпы его распространения.
Trojan.Encoder.33 шифрует данные пользователей, однако использует при этом новые механизмы. Опасности подвергаются файлы с расширением *.txt,*.jpg,*.jpeg,*.doc,*.docx,*.xls, которые троянец переносит в папки:
C:\Documents and Settings\Local Settings\Application Data\CDD
C:\Documents and Settings\Local Settings\Application Data\FLR
В то же время оригинальные файлы заменяются сообщением "FileError_22001".В отличие от прежних модификаций, Trojan.Encoder.33 не выводит никаких сообщений с требованием заплатить различные суммы денег. При этом, функция шифрования данных пользователя осуществляется этим троянцем только в случае, если ему удается связаться с внешним сервером.
Последние отличаются от предыдущих новым ключом шифрования документов, а также новыми контактными данными злоумышленника. Специалисты "Доктор Веб " оперативно создали утилиты, позволяющие расшифровать файлы, доступ к которым был заблокирован новыми модификациями Trojan.Encoder . Но особенно интересна еще одна, самая «свежая» модификация Trojan.Encoder . Эта версия троянской программы добавляет к зашифрованным файлам расширение.DrWeb . Вследствие успешного противодействия Trojan.Encoder со стороны антивируса Dr.Web у автора, видимо, зародилось желание «напакостить» при помощи упоминания нашей торговой марки в названии зашифрованных файлов.
Кроме того, в распоряжении специалистов "Доктор Веб " оказалась ссылка на один из сайтов автора актуальных модификаций Trojan.Encoder . Интересно, что владелец этого ресурса пытается ассоциировать себя с «Доктор Веб », используя образы паука и доктора, в то время как компания не имеет к подобным сайтам никакого отношения. Очевидно, такое оформление используется для того, чтобы запутать неопытных пользователей и скомпрометировать компанию «Доктор Веб ».
Злоумышленник всячески пытается предстать перед пострадавшими с положительной стороны - как человек, помогающий восстановить документы пользователей. На своем сайте он предлагает просмотреть ролик, в котором демонстрируется работа утилиты дешифровки документов, за которую вымогаются деньги.
По имеющимся сведениям можно предполагать, что вымоганием денег после шифрования файлов занимается один человек.
Аналитики компании «Доктор Веб » разработали утилиту дешифровки и предлагают всем пользователям бесплатно её, чтобы восстановить свои файлы. Для удобства пользователей новая версия утилиты снабжена модулем графического интерфейса и носит название Trojan.Encoder Decrypt .
Я сегодня столкнулся с еще какой-то (возможно, что самой новой) версией этой пакости, которая мало того, что зашифровала всё нафиг - так еще и не имеет файла crypted.txt , который необходим программе-дешифровке от dr.web для того, чтобы обратно раскодировать файлы. Более того, сия (или не сия, а какая-нибудь другая) штука напрочь заблокировала доступ к avz -ту и не дает никоим образом запустить его на компьютере. Невозможно ни распаковать скачанный архив с , ни залить на компьютер напрямую папку, короче упирается ногами и руками, отрезая avz -ту базы, которые живут в папке Base и имеют расширение.avz . Хитрость с переименовыванием расширения или удаленным запуском тоже не возымела действия. Пришлось крутится. После разворачивания на компьютере программного комплекса + и тщательной очистки оными без единой перезагрузки компьютера (это важно), а так же после ручного выгрызания левых процессов, элементов автозагрузки, модулей пространства ядра и прочих ужасов жизни avz таки удалось запустить. Комплексный анализ системы по средством оного выявил целую тучку бед, вывел ряд вирусов (сам Encoder был вычищен drweb"ом), но.. Дешифровать файлы специальной программой не выходит в силу отсутствия crypted.txt или любого другого близкого к оному файла. А другого решения я пока не знаю.
Посему, всем заразившимся, настоятельно рекомендую для начала воспользоваться связкой Dr.web Сureit + spybot , а затем обратится напрямую в компанию dr.web за помощью в дешифровке файлов. Обещают помочь и совершенно бесплатно.
Где пользователь подцепил сей вирус я, к сожалению, не знаю.
Спасибо за внимание и держите свой компьютер в безопасности. Это важно.
