-
Шифровальщик Trojan-Ransom.Win32.Hanar (Trojan.Encoder.162)
С начала октября пользователи стали массово обращаться на форумы лечения с жалобами на шифровальщика, который показывает следующие картинки
Это шифровальщик Trojan-Ransom.Win32.Hanar (по классификации Лаборатории Касперского) или Trojan.Encoder.162 (по классификации DrWeb)
В настоящий момент известно 4 вариации шифровальщика (первая картинка для версии a, вторая - для версий b, c, d)
Файл шифровальщика имеет имя error.exe. Написан на С++. Упакован предположительно упаковщиком Yakes. Располагается либо в папке Windows (скорее всего только для Windows XP) или в ProgramData (для Windows 7). Прописывается в автозапуск.
Механизм работы:
1) шифруются файлы с расширениями .doc, .docx, .xls, .xlsx, .jpg (хотя однажды попался случай, что почему-то оказались зашифрованы и файлы .tif, .eps).
2) шифруются первые 100 байт файла. Ключ для шифрования (дешифровки) основан на серийном номере системного диска.
Для шифрования используется побайтный XOR.
- в версиях a, b использовалось десятичное представление серийного номера системного диска (могли получиться как положительные, так и отрицательные числа)
- в версиях c, d серийный номер отсылается на сервер злоумышленников и ключ генерируется по неизвестному пока принципу, состоит из двух частей 64+36 байт, первые 36 байт в обеих частях полностью совпадают
Как расшифровать файлы
Для расшифровки можно использовать следубющие утилиты
RectorDecryptor (начиная с версии 2.5.0)
te162decrypt
Особенности дешифровки (на примере RectorDecryptor):
- для версий a, b:
а) если система не переустанавливалась, просто запустить утилиту (не переустанавливать систему, потому что сменится серийный номер диска и утилита не сможет расшифровать).
б) если переустановка была произведена, пробовать просто определить ключ шифрования (особенно хорошо получается его определить по зашифрованным .xls) или просить пользователя прислать незашифрованный оригинал файла, чтобы получить ключ реверсированием.
В этом случае утилиту запускать из командной строки так
RectorDecryptor.exe -hanarp "ключ_дешифровки"
(кавычки обязательны)
- для версий c, d сразу просить присылать вместе с зашифрованным файлом его незашифрованный оригинал, чтобы определить ключ, например
RectorDecryptor.exe -hanarp "45dd83ba721c9248f9f35c0474bf079583a06a55e2ce7d981 8ad861f55608dc045dd83ba721c9248f9f35c0474bf079583a 0"
Особенности дешифровки (на примере te162decrypt):
- пробовать расшифровать обычным образом (если система не переустанавливалась)
- прислать вместе с зашифрованным файлом его незашифрованный оригинал (начиная с версии от 19 октября)
Внимание: до (после) дешифровки обязательно удостовериться, что файл error.exe уничтожен. В противном случае возможен рецидив.
Последний раз редактировалось thyrex; 20.10.2012 в 15:46.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Очень похоже, что уже начала распространение еще одна версия шифровальщика.
Там уже не просто XOR, а какой-то из алгоритмов шифрования
- - - Добавлено - - -
Печально. Все новые модификации используют алгоритм шифрования Blowfish. Возможно ли будет подобрать ключи, смогут сказать только специалисты
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 42
Добрый день, помогите дешифровать файлы. Троян закодировал фотографии и файлы офис, тип вируса картинка 2, предложенные методы дешифровки файлов не помогли..что делать дальше ?
-
Junior Member
- Вес репутации
- 42
Сообщение от
Кирилл М
Добрый день, помогите дешифровать файлы. Троян закодировал фотографии и файлы офис, тип вируса картинка 2, предложенные методы дешифровки файлов не помогли..что делать дальше ?
Тоже пострадал от этого вируса Trojan-Ransom.Win32.Hanar.e (картинка 2) 
Утилита для дешифровки не помогает. Я так понимаю даже смысла нету сюда публиковать данные по поводу вируса, т. к. в соседней ветке сказано "Расшифровать файлы на данный момент не представляется возможным" Так что остается только ждать. Обидно, 3.5 гб фоток недоступно теперь...
-
Junior Member
- Вес репутации
- 42
Сообщение от
gaspar
Тоже пострадал от этого вируса Trojan-Ransom.Win32.Hanar.e (картинка 2)
Утилита для дешифровки не помогает. Я так понимаю даже смысла нету сюда публиковать данные по поводу вируса, т. к. в соседней ветке сказано "Расшифровать файлы на данный момент не представляется возможным" Так что остается только ждать. Обидно, 3.5 гб фоток недоступно теперь...
Как у тебя заразился комп, через какой сайт ? у меня есть подозрения что вирус проник через сбербанк Онлайн. Хваленый NOD не помог.
-
Junior Member
- Вес репутации
- 42
Через Сбербанк Онлайн точно не мог проникнуть, т. к. им не пользуюсь. Просто гулял по просторам интернета и поймал. На всякий случай свои файлы jpg не буду удалять пока, вдруг решение этой проблемы найдется. Да и жалко, за 4 года фотки то 
-
Junior Member (OID)
- Вес репутации
- 41
Добрый вечер ! Ранее я писал:" Троян закодировал фотографии и файлы офис, тип вируса картинка 2, предложенные методы дешифровки файлов не помогли..что делать дальше ?" есть на сегодняшний момент возможность мне помочь? Или можете посоветовать технических специалистов, которые смогут мне помочь .
-
Junior Member
- Вес репутации
- 42
Благодаря специалисту из компании Drweb получилось раскодировать фотографии. Все оказалась очень просто найдите 2 фотографии 1 закодированную и другую точно такую же не закодированную, положите обе фотографии в 1 паку, скопируйте туда это файл ---- ftp://ftp.drweb.com/pub/drweb/tools/te162decrypt.exe и запустите его! 12 часов и все фотографии раскодированы... Спасибо спецам из Drweb !!!
Ответить с цитированием
