Никита Соловьев
18.07.2013, 17:25
В связи с ростом активности очередной вредоносной программы, шифрующей пользовательские файлы, VirusInfo предлагает информацию о воздействии данного шифровальщика и методах расшифровки файлов.
Распространение
Вредоносная программа распространяется в виде вложения через электронную почту.
Пример содержания сообщения:
Здравствуйте!
Ваш заказ поступивший с адреса *** обработан и будет поставлен на отправку в течение 3 дней.
Еще раз убедитесь в правильности всех данных, чтобы впоследствии не возникло непредвиденных проблем.
Если какие-то данные введены неверно просим срочно сообщить нам об этом.
Вложение представляет собой файл с расширением .doc (MS Word 97-2003). Заражение системы происходит вследствие эксплуатации уязвимостей в программном обеспечении.
Последствия заражения
По имеющимся данным, шифруются файлы с расширением .pdf (Adobe Acrobat Document), .doc (MS Word 97-2003), .xls (MS Excel 97-2003), возможно, более новые форматы файлов MS Office, а также базы данных.
В корневом каталоге системного диска вредоносная программа создает исполняемый фай лсо случайным именем, а также файл как_расшифровать.txt
Пример содержания файла:
Все ваши файлы .doc,.xls,.pdf, базы данных и другие зашифрованы.
Если вы заинтересованы в расшифровке ваших файлов свяжитесь с нами. Email для связи:
[email protected]
В теме укажите ваш ID.
----
ID:******** (по имеющейся информации ID является серийный номер жесткого диска компьютера)
----
Восстановление файлов
На данный момент имеется единственный способ решения проблемы, предлагаемый компанией Dr.Web (http://drweb.com):
http://download.geo.drweb.com/pub/drweb/tools/te225decrypt.exe
Применение.
Просто запустить te225decrypt.exe в пострадавшей системе.
Утилита запросит показать ей любой один зашифрованный файл, в оригинале имевший формат MS Office doc (но не docx)
После этого автоматически начнется расчет ключей для расшифровки.
Расчет идет в две фазы. В статусной строке окна te225decrypt при этом отображается соответственно: "Подбор первого/второго ключа"
По имеющимся оценкам время подбора шифроключа в среднем составляет порядка 2-3 суток.
Как только ключи будет вычислены, утилита автоматически перейдет к расшифровке файлов на локальных дисках.
Потребуется свободное место, равное общему объему зашифрованных файлов (т.к. расшифровка идет в новые файлы; исходные зашифрованные *[email protected]_encrypt* останутся).
Вероятность успешного подбора шифроключа оценивается в 50%
VirusInfo не несет ответственности за возможную утрату информации при использовании данного средства.
Используйте функцию подписки на данную тему, чтобы оперативно получать информацию о дополнениях и обновлениях.
Распространение
Вредоносная программа распространяется в виде вложения через электронную почту.
Пример содержания сообщения:
Здравствуйте!
Ваш заказ поступивший с адреса *** обработан и будет поставлен на отправку в течение 3 дней.
Еще раз убедитесь в правильности всех данных, чтобы впоследствии не возникло непредвиденных проблем.
Если какие-то данные введены неверно просим срочно сообщить нам об этом.
Вложение представляет собой файл с расширением .doc (MS Word 97-2003). Заражение системы происходит вследствие эксплуатации уязвимостей в программном обеспечении.
Последствия заражения
По имеющимся данным, шифруются файлы с расширением .pdf (Adobe Acrobat Document), .doc (MS Word 97-2003), .xls (MS Excel 97-2003), возможно, более новые форматы файлов MS Office, а также базы данных.
В корневом каталоге системного диска вредоносная программа создает исполняемый фай лсо случайным именем, а также файл как_расшифровать.txt
Пример содержания файла:
Все ваши файлы .doc,.xls,.pdf, базы данных и другие зашифрованы.
Если вы заинтересованы в расшифровке ваших файлов свяжитесь с нами. Email для связи:
[email protected]
В теме укажите ваш ID.
----
ID:******** (по имеющейся информации ID является серийный номер жесткого диска компьютера)
----
Восстановление файлов
На данный момент имеется единственный способ решения проблемы, предлагаемый компанией Dr.Web (http://drweb.com):
http://download.geo.drweb.com/pub/drweb/tools/te225decrypt.exe
Применение.
Просто запустить te225decrypt.exe в пострадавшей системе.
Утилита запросит показать ей любой один зашифрованный файл, в оригинале имевший формат MS Office doc (но не docx)
После этого автоматически начнется расчет ключей для расшифровки.
Расчет идет в две фазы. В статусной строке окна te225decrypt при этом отображается соответственно: "Подбор первого/второго ключа"
По имеющимся оценкам время подбора шифроключа в среднем составляет порядка 2-3 суток.
Как только ключи будет вычислены, утилита автоматически перейдет к расшифровке файлов на локальных дисках.
Потребуется свободное место, равное общему объему зашифрованных файлов (т.к. расшифровка идет в новые файлы; исходные зашифрованные *[email protected]_encrypt* останутся).
Вероятность успешного подбора шифроключа оценивается в 50%
VirusInfo не несет ответственности за возможную утрату информации при использовании данного средства.
Используйте функцию подписки на данную тему, чтобы оперативно получать информацию о дополнениях и обновлениях.