-
Junior Member
- Вес репутации
- 43
Свежий Trojan.Encoder
Вчера сотрудник получил "письмо счастья" следующего содержания:
"СООБЩЕНИЕ ОБ УВЕЛИЧЕНИИ ДОЛГА
Здравствуйте ххх@ххх.ru
По нашим дaнным на 31.07.2012 Bы превысили мaксимaльную отсрочку плaтежа
скачать статистику по счету вы можeтe по ccылкe нижe";
и переслал его бухгалтеру. Молодец.
Ну а бухгалтер кликнула по ссылке (). Тоже молодец.
Предупреждал, всё без толку.
Короче, всё стандартно. Энкодер зашифровал фыйлы МС Офиса, картинки, пдф-ы, архивы, базы 1С и пр. После чего самоликвидировался. Копания в реестре и проверки в ERD CurIt-ом ничего не дали. Чисто. Осталась только папка WinRar.inc в "Program Files" (собственно программа-кодировщик), картинка-заставка и "напоминание.txt" в автозапуске:
"для возврата файлов пишите сюда
[email protected]
вам присвоен id031 сообщите мне его на почту без знания номера восстановление
файлов будет затруднительно"
С этой гадостью встречаюсь не первый раз, но подобрать декодер не получилось. Ближе всех оказался Касперовский te102decrypt.exe, но он доки и картинки декодит коряво, а архивы и базы вообще игнорирует.
Архив с папкой WinRar.inc и примерами закодированных файлов выложил здесь ()
Последний раз редактировалось thyrex; 02.08.2012 в 11:38.
Причина: убрал архив с вредоносом
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) KrMike, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 43
Зачем убрали ссылку на архив с "покусанными" файлами и программой-кодером, которая не является вирусом? Ни один антивирь не распознал в ней ничего плохого. Вирус использует её для кодирования файлов.
-
Использует для кодирования - значит опасен. Для дешифровки он не используется
За "покусанные" файлы не переживайте. Их я себе сохранил
- - - Добавлено - - -
Да, и кстати:
1. Самого шифровальщика нет в архиве.
2. Зато есть Trojan-PSW.Win32.Tepfer.awix
Потому пароли смените от электронки, асек и прочего. Их у Вас уже увели
Последний раз редактировалось thyrex; 03.08.2012 в 11:40.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Зеркало 1 Зеркало 2 - дешифратор
После его работы у Вас будут две копии каждого файла.
1. В одной копии будут просто восстановлены зашифрованные вирусом участки и все файлы, за исключением файлов от MS Office 2007 и 2010 (для этого случая смотрите п. 2), будут успешно открываться
2. Во второй копии (с расширение .bak) дешифратор, кроме восстановления зашифрованных участков, удаляет и записанную в конец каждого зашифрованного файла информацию, нужную для дешифровки. После удаления расширения .bak файлы от MS Office 2007 и 2010 тоже должны нормально открываться
Примечание: возможно, не совсем корректно обрабатываются некоторые файлы от Office 2007 и 2010 + файлы больших размеров от Office 97-2003
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-