Новая волна опасного троянца Trojan.Encoder

[B]Новая волна опасного троянца Trojan.Encoder[/B]
[I]17 апреля 2006 года[/I] [url]http://info.drweb.com/show/2805/[/url]

Служба вирусного мониторинга компании «Доктор Веб» сообщает о значительном росте числа вирусных инцидентов с участием печально известной троянской программы Trojan.Encoder, которая в течение уже нескольких месяцев служит орудием шантажа определенной преступной группы. Неосторожные пользователи, получив эту программу по электронной почте (в основном, в спам рассылках) и пытаясь открыть инфицированное вложение, мгновенно лишаются всех файлов документов на своем компьютере - они оказываются закодированными, а для их раскодирования преступники требуют перевести деньги на указываемый ими счет одной из международных платежных систем.

По поступающей в последние дни информации, повторное появление этого же (теперь уже несколько видоизмененного) троянца Trojan.Encoder связано с распространением русскоязычного почтового червя массовой рассылки [B]Win32.HLLM.Perf[/B], известного также под именами [B]Email-Worm.Win32.Bagle.fw, New Malware.aj, PSW.Ldpinch.AWF, TSPY_LDPINCH.IT, Trojan-PSW.Win32.LdPinch.hk, Trojan.Pinch.A@m, Trojan.Win32.Inject.z[/B]. Данный почтовый червь не вызвал какой-либо эпидемии, присутствие его в интернете минимально, поскольку рассылает он письма исключительно на русском языке.

Компания «Доктор Веб» в очередной раз напоминает всем пользователям интернета о необходимости предельно осторожно обращаться с любыми почтовыми сообщениями, поступающими от неизвестных адресатов, либо вызывающими подозрение своей необычностью. Следует помнить, что электронная почта - основное средство для кибер-преступников, с помощью которого они могут доставить вредоносный код на компьютеры своих доверчивых жертв. При этом наличие постоянно обновляемой антивирусной программы является необходимым условием безопасной и эффективной работы с данными.

Выпущена новая версия антивирусной утилиты, предназначенной для борьбы с вирусом-трояном Trojan.Encoder. Утилита представляет собой дешифрующую программу, позволяющую вернуть все пораженные троянцем файлы в первоначальное состояние. Служба вирусного мониторинга компании "Доктор Веб" отмечает о значительном росте числа вирусных инцидентов с участием троянской программы Trojan.Encoder, которая в течение уже нескольких месяцев служит орудием шантажа определенной преступной группы. Неосторожные пользователи, получив эту программу по электронной почте (в основном, в спам рассылках) и пытаясь открыть инфицированное вложение, мгновенно лишаются всех файлов документов на своем компьютере - они оказываются закодированными, а для их раскодирования преступники требуют перевести деньги на указываемый ими счет одной из международных платежных систем.
ОС: Windows 98/ME/2000/XP | Англ. интерфейс | Бесплатно.
[url]ftp://ftp.drweb.com/pub/drweb/windows/te_decrypt.exe[/url]

[quote=SDA]Выпущена новая версия антивирусной утилиты, предназначенной для борьбы с вирусом-трояном Trojan.Encoder. [/quote]

а это где написано что она новая? она очень даже старая (январская)
и при этом расшифровывает файлы и после последних енкодеров

[B]Во всемирной сети появился новый вариант Trojan.Encoder. Диагноз: опасно, но не эпидемично[/B]
[I][SIZE="1"]1 июня 2006 года[/SIZE][/I]
[url]http://info.drweb.com/show/2835/ru[/url]
Служба вирусного мониторинга компании «Доктор Веб» информирует всех пользователей о появлении новой модификации троянской программы Trojan.Encoder, о которой мы уже писали 27 января 2006 г. Данный вариант определяется антивирусной программой Dr.Web как Trojan.Encoder.6.
В настоящее время зафиксировано несколько вариантов троянской программы. В отличие от предыдущих версий, создатель вируса использует ключи шифрования достаточно большой длины - 260 бит, что существенно усложняет процесс дешифровки пораженных им файлов.
По имеющимся данным, все версии троянской программы рассылаются по электронной почте - в виде спам-рассылок. Неосторожный пользователь, запустив программу-вложение, тут же становится жертвой шантажиста - его файлы документов шифруются, а ему самому предлагается связаться со злоумышленником по указанному последним адресу электронной почты. После поражения компьютера в каждой папке появляется файл readme.txt следующего содержания:

[I]Some files are coded by RSA method.
To buy decoder mail: [email][email protected][/email]
with subject: REPLY[/I]


Компания «Доктор Веб» еще раз обращает внимание пользователей на опасность данного "троянца" и призывает быть исключительно осторожными с любыми почтовыми сообщениями, приходящими от неизвестных адресатов.

Компания "Доктор Веб" сообщает:
Во всемирной сети появился новый вариант вируса Trojan.Encoder.
Диагноз: опасно, но не эпидимично.

По имеющимся данным, все версии троянской программы рассылаются по электронной почте - в виде спам-рассылок. При запуске программы-вложения, вирус начинает шифровать файлы документов, а пользователю предлагается связаться по указанному адресу электронной почты. После поражения компьютера в каждой папке появляется файл readme.txt.

Компания "Доктор Веб" уже выпустила специальную утилиту дешифровки.
ЕЕ можно скачать с сайта компании "Доктор Веб" - [url]www.drweb.com[/url]

[B]Trojan.Encoder.6: выпущена обновленная версия утилиты дешифровки[/B]
[url]http://info.drweb.com/show/2838/ru[/url]
Компания «Доктор Веб» - сообщает о выпуске обновления специальной утилиты дешифровки файлов, зашифрованных троянской программой Trojan.Encoder.6

В связи с тем, что злоумышленником применяется для шифрования файлов ключ длиной 260 бит, процесс дешифровки существенно затруднен. Усовершенствованная утилита, выпущенная антивирусной лабораторией компании «Доктор Веб», позволяет дешифровать файлы, зашифрованные с помощью [B]различных ключей шифрования[/B].

* [url=ftp://ftp.drweb.com/pub/drweb/windows/te_decrypt.exe]Скачать утилиту дешифровки [/url]

Применение утилиты:

1.Перейти в командную строку (кнопка "Пуск" - Выполнить - cmd)
2.Перейти в директорию, содержащие файлы, которые необходимо дешифровать
3.Поместить в эту же директорию утилиту дешифровки te_decrypt.exe
4.Набрать в командной строке te_decrypt.exe [имя_файла_для_дешифровки] [Enter]

В случае, если файл зашифрован с помощью поддерживаемых вариантов ключей, он будет дешифрован, и на выходе будет получен файл с расширением .decrypted. Специалисты компании «Доктор Веб» продолжают работу, в скором времени ожидается выпуск специального дополнения к вирусным базам Dr.Web, с помощью которого в штатном режиме будут дешифровываться файлы.

Уже в вирусной базе, расшифровывает сам дрвеб. Утиль полезна лишь тем, у кого другие антивирусы.