Свежий Trojan.Encoder

Printable View

02.08.2012, 02:53
KrMike

Свежий Trojan.Encoder

Вчера сотрудник получил "письмо счастья" следующего содержания:
"СООБЩЕНИЕ ОБ УВЕЛИЧЕНИИ ДОЛГА
Здравствуйте ххх@ххх.ru
По нашим дaнным на 31.07.2012 Bы превысили мaксимaльную отсрочку плaтежа
скачать статистику по счету вы можeтe по ccылкe нижe";
и переслал его бухгалтеру. Молодец.
Ну а бухгалтер кликнула по ссылке (). Тоже молодец.
Предупреждал, всё без толку.
Короче, всё стандартно. Энкодер зашифровал фыйлы МС Офиса, картинки, пдф-ы, архивы, базы 1С и пр. После чего самоликвидировался. Копания в реестре и проверки в ERD CurIt-ом ничего не дали. Чисто. Осталась только папка WinRar.inc в "Program Files" (собственно программа-кодировщик), картинка-заставка и "напоминание.txt" в автозапуске:
"для возврата файлов пишите сюда
[EMAIL="[email protected]"][email protected][/EMAIL]
вам присвоен id031 сообщите мне его на почту без знания номера восстановление
файлов будет затруднительно"
С этой гадостью встречаюсь не первый раз, но подобрать декодер не получилось. Ближе всех оказался Касперовский te102decrypt.exe, но он доки и картинки декодит коряво, а архивы и базы вообще игнорирует.
Архив с папкой WinRar.inc и примерами закодированных файлов выложил здесь ()
02.08.2012, 03:00
Info_bot

Уважаемый(ая) [B]KrMike[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
02.08.2012, 11:39
thyrex

Пока порадовать нечем
03.08.2012, 08:06
KrMike

Зачем убрали ссылку на архив с "покусанными" файлами и программой-кодером, которая не является вирусом? Ни один антивирь не распознал в ней ничего плохого. Вирус использует её для кодирования файлов.
03.08.2012, 11:35
thyrex

Использует для кодирования - значит опасен. Для дешифровки он не используется

За "покусанные" файлы не переживайте. Их я себе сохранил

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Да, и кстати:
1. Самого шифровальщика нет в архиве.
2. Зато есть [B]Trojan-PSW.Win32.Tepfer.awix[/B]
Потому пароли смените от электронки, асек и прочего. Их у Вас уже увели
07.08.2012, 23:21
thyrex

[INFORMATION][color="#FF0000"]Внимание![/color] [color="#0000CD"]Данный дешифратор предназначен только для пользователя [b]KrMike[/b]
Во избежание [u]окончательной потери информации[/u] другим пользователям применять данный дешифратор [b]не рекомендуется[/color][/b][/INFORMATION]

[url="http://zalil.ru/33654993"]Зеркало 1[/url] [url="http://rghost.ru/39631201"]Зеркало 2[/url] - дешифратор

После его работы у Вас будут две копии каждого файла.
1. В одной копии будут просто восстановлены зашифрованные вирусом участки и все файлы, за исключением файлов от MS Office 2007 и 2010 (для этого случая смотрите п. 2), будут успешно открываться
2. Во второй копии (с расширение [b].bak[/b]) дешифратор, кроме восстановления зашифрованных участков, удаляет и записанную в конец каждого зашифрованного файла информацию, нужную для дешифровки. После удаления расширения [b].bak[/b] файлы от MS Office 2007 и 2010 тоже должны нормально открываться

[u][b]Примечание:[/b][/u] возможно, не совсем корректно обрабатываются некоторые файлы от Office 2007 и 2010 + файлы больших размеров от Office 97-2003