Свежий Trojan.Encoder 2

[h=2]Свежий Trojan.Encoder[/h][COLOR=#333333][INDENT]Вчера сотрудник получил "письмо счастья" следующего содержания:
"СООБЩЕНИЕ ОБ УВЕЛИЧЕНИИ ДОЛГА
Здравствуйте ххх@ххх.ru
По нашим дaнным на 31.07.2012 Bы превысили мaксимaльную отсрочку плaтежа
скачать статистику по счету вы можeтe по ccылкe нижe";
и переслал его бухгалтеру. Молодец.
Ну а бухгалтер кликнула по ссылке (). Тоже молодец.
Предупреждал, всё без толку.
Короче, всё стандартно. Энкодер зашифровал фыйлы МС Офиса, картинки, пдф-ы, архивы. После чего самоликвидировался. Копания в реестре и проверки в ERD CurIt-ом ничего не дали. Чисто. Осталась только папка картинка-заставка и "напоминание.txt" в автозапуске:
"для возврата файлов пишите сюда
[EMAIL="[email protected]"][email protected][/EMAIL]
вам присвоен id032 сообщите мне его на почту без знания номера восстановление
файлов будет затруднительно"

Пример кодированных файлов залил сюда [COLOR=#000000][FONT=Verdana]http://zalil.ru/33676815[/FONT][/COLOR][/INDENT]
[/COLOR]

Уважаемый(ая) [B]crazy0007[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[INFORMATION][color="#FF0000"]Внимание![/color] [color="#0000CD"]Данный дешифратор предназначен только для пользователя [b]crazy0007[/b]
Во избежание [u]окончательной потери информации[/u] другим пользователям применять данный дешифратор [b]не рекомендуется[/color][/b][/INFORMATION]

[url="http://zalil.ru/33677501"]Зеркало 1[/url] [url="http://rghost.ru/39773023"]Зеркало 2[/url] - дешифратор

После его работы у Вас будут две копии каждого файла.
1. В одной копии будут просто восстановлены зашифрованные вирусом участки и все файлы, за исключением файлов от MS Office 2007 и 2010 (для этого случая смотрите п. 2), будут успешно открываться
2. Во второй копии (с расширение [b].bak[/b]) дешифратор, кроме восстановления зашифрованных участков, удаляет и записанную в конец каждого зашифрованного файла информацию, нужную для дешифровки. После удаления расширения [b].bak[/b] файлы от MS Office 2007 и 2010 тоже должны нормально открываться

[u][b]Примечание:[/b][/u] возможно, не совсем корректно обрабатываются некоторые файлы от Office 2007 и 2010 + файлы больших размеров от Office 97-2003