Trojan.Encoder новини про вірус





Відверто кажучи, я сьогодні ніяк не очікував зіткнутися з, мабуть, однією з останньою модифікацією цього вірусу. Не так давно я трохи вже згадував про нього на своєму сайті — прийшов час розповісти побільше Trojan.Encoder новини про вірус

Trojan.Encoder новини про вірус

Як я вже говорив — Trojan.Encoder — це троянська програма, яка шифрує користувача файли. Різновидів цього жаху все більше і більше і всього їх, за приблизними підрахунками, вже близько 8, а саме: Trojan.Encoder.19, Trojan.Encoder.20, Trojan.Encoder.21, Trojan.Encoder.33, Trojan.Encoder — 43, 44 і 45 і остання ще, як я зрозумів, не пронумерована. Автором вірусу є якийсь «Коректор«.

Трохи інформації за версіями (інформація взята частково з сайту dr.web і частково з сайту comss.ru):

Trojan.Encoder.19 — інфікувавши систему, троянець залишає текстовий файл crypted.txt з вимогою заплатити 10 $ за програму розшифровщик.

Чергова різновид Trojan.Encoder.19 обходить всі незнімні носії та шифрує файли з розширеннями з наступного списку:

.jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .asf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar, .zip, .db, .mdb, .dbf, .dbx, .h, .c, .pas, .php, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .sol, .jbc , .txt, .pdf.

Trojan.Encoder.20 — нова версія троянської програми-здирника, в якій в порівнянні з Trojan.Encoder.19 змінений механізм шифрування і генерації ключа.

Trojan.Encoder.21 — нова модифікація троянця у файлі crypted.txt, яка вимагає переводити гроші (89 $) тільки за допомогою певної платіжної системи, зазначеної автором вірусу, і не використовувати такі системи як PAYPAL та готівкові гроші. Для поширення Trojan.Encoder.21 використовує сайти, які відомі як активні дистриб’ютори троянців. Колишні модифікації застосовували для цього одноразові посилання або посилання з коротким часом роботи. Дана особливість Trojan.Encoder.21 може різко збільшити темпи його поширення.

Trojan.Encoder.33 шифрує дані користувачів, однак використовує при цьому нові механізми. Небезпеки піддаються файли з розширенням * .txt, *. Jpg, *. Jpeg, *. Doc, *. Docx, *. Xls, які троянець переносить в папки:

C: Documents and Settings Local Settings Application Data CDD

C: Documents and Settings Local Settings Application Data FLR

У той же час оригінальні файли замінюються сполученням «FileError_22001″.

На відміну від колишніх модифікацій, Trojan.Encoder.33 не виводить ніяких повідомлень з вимогою заплатити різні суми грошей. При цьому, функція шифрування даних користувача здійснюється цим троянцем тільки у випадку, якщо йому вдається зв’язатися із зовнішнім сервером.

Останні відрізняються від попередніх новим ключем шифрування документів, а також новими контактними даними зловмисника. Фахівці «Доктор Веб» оперативно створили утиліти, що дозволяють розшифрувати файли, доступ до яких був заблокований новими модифікаціями Trojan.Encoder. Але особливо цікава ще одна, сама «свіжа» модифікація Trojan.Encoder. Ця версія троянської програми додає до зашифрованих файлів розширення .DrWeb. Внаслідок успішної протидії Trojan.Encoder з боку антивіруса Dr.Web у автора, мабуть, зародилося бажання «напаскудити» за допомогою згадки нашої торгової марки в назві зашифрованих файлів.

Крім того, у розпорядженні фахівців «Доктор Веб» виявилася посилання на один із сайтів автора актуальних модифікацій Trojan.Encoder. Цікаво, що власник цього ресурсу намагається асоціювати себе з «Доктор Веб», використовуючи образи павука і доктора, в той час як компанія не має до подібних сайтів ніякого відношення. Очевидно, таке оформлення використовується для того, щоб заплутати недосвідчених користувачів і скомпрометувати компанію «Доктор Веб».

Зловмисник всіляко намагається постати перед постраждалими з позитивного боку — як людина, що допомагає відновити документи користувачів. На своєму сайті він пропонує переглянути ролик, в якому демонструється робота утиліти дешифрування документів, за яку вимагали гроші.

За наявними відомостями можна припускати, що вимаганням грошей після шифрування файлів займається одна людина.

Аналітики компанії «Доктор Веб» розробили утиліту дешифрування і пропонують всім користувачам безкоштовно завантажити її, щоб відновити свої файли. Для зручності користувачів нова версія утиліти забезпечена модулем графічного інтерфейсу і носить назву Trojan.Encoder Decrypt.

Я сьогодні зіткнувся з ще якийсь (можливо, що самої нової) версією цієї капості, яка мало того, що зашифрувала все нафіг — так ще і не має файлу crypted.txt, який необхідний програмі-дешифрування від dr.web для того, щоб назад розкодувати файли. Більше того, ця (або не сія, а якась інша) штука геть заблокувала доступ до avz-ту і не дає жодним чином запустити його на комп’ютері. Неможливо ні розпакувати скачаний архів з avz, ні залити на комп’ютер безпосередньо папку, коротше впирається ногами і руками, відрізаючи avz-ту бази, які живуть в папці Base і мають розширення .avz. Хитрість з перейменуванням розширення або віддаленим запуском теж не вплинула. Довелося крутиться. Після розгортання на комп’ютері програмного комплексу Dr.web Сureit + spybot і ретельного очищення ними ж без єдиної перезавантаження комп’ютера (це важливо), а так само після ручного вигризання лівих процесів, елементів автозавантаження, модулів простору ядра і інших жахів життя avz таки вдалося запустити. Комплексний аналіз системи по засобом оного виявив цілу хмарку бід, вивів ряд вірусів (сам Encoder був вичищений drweb’ом), але .. Дешифрувати файли спеціальною програмою не виходить в силу відсутності crypted.txt або будь-якого іншого близького до оному файлу. А іншого рішення я поки не знаю.

Тому, всім заразилися, настійно рекомендую для початку скористатися зв’язкою Dr.web Сureit + spybot, а потім звернеться безпосередньо в компанію dr.web за допомогою в дешифрування файлів. Обіцяють допомогти і абсолютно безкоштовно.

Де користувач підчепив сей вірус я, на жаль, не знаю.

Спасибі за увагу і тримайте свій комп’ютер в безпеці. Це важливо.

Можливо, це може Вам знадобиться: шукайте собі радіатор недорого і швидко? Заходьте і беріть! ||| Для Вас Атлант в Одесі зробить багато Trojan.Encoder новини про вірус