Dr.WEB Trojan.Encoder

[umask]

http://info.drweb.com/show/2746

Trojan.Encoder - не поддавайтесь кибер-шантажу. «Доктор Веб» всегда придет Вам на помощь.

27 января 2006 года

За последние сутки в Службу вирусного мониторинга компании «Доктор Веб» поступило несколько обращений от пользователей, файлы документов которых оказались закодированы неизвестным вирусом. Кроме зашифрованных и поэтому недоступных для прочтения файлов все жертвы вируса обнаружили на своих дисках многочисленные копии файла read.me, в котором содержалось сообщение о том, что файлы пользователя зашифрованы и предлагалось обратиться с письмом на указанный адрес электронной почты для расшифровки файлов.

В этой связи компания «Доктор Веб» информирует своих пользователей, что в данном случае речь идет о поражении системы троянской программой, которая детектируется антивирусным ядром Dr.Web как Trojan.Encoder (добавлен в вирусную базу 26 января 2006 года). Троянская программа попадает на компьютеры своих жертв по электронной почте и прописывает себя в ключ реестра

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
services = Filename.exe

Троянец активируется, используя уязвимость операционной системы. Поселившись на компьютере жертвы, программа ищет файлы со следующими расширениями:

"rtf" ,"txt" ,"pdf" ,"csv" ,"frm" ,"css" ,"xls" ,
"mdb" ,"dbf" ,"dbt" ,"db" ,"safe" ,"flb" ,"pst" ,"pwl" ,"pwa" ,"pak" ,"rar" ,
"zip" ,"arj" ,"gz" ,"tar" ,"sar" ,"htm" ,"html" ,"cgi" ,"pl" ,"kwm" ,"pwm" ,
"cdr" ,"dbx" ,"mmf" ,"tbb" ,"xml " ,"frt" ,"frx" ,"gtd" ,"rmr" ,"chm" ,"mo" ,
"man" ,"c" ,"cpp" ,"h" ,"pgp" ,"gzip" ,"lst" ,"pfx" ,"p12" ,"db1" ,"db2" ,
"cnt" ,"sig" ,"css" ,"arh" ,"pem" ,"key" ,"prf" ,"old" ,"rnd" ,"prx"
и шифрует их с помощью алгоритма RSA. В дальнейшем автор вируса требует со своих жертв деньги за дешифровку. Свой адрес шантажист сообщает в файле readme.txt

Some files are coded by RSA method.
To buy decoder mail: ********[email protected]
with subject: RSA 5 68243170728578411

Специалисты антивирусной лаборатории компании «Доктор Веб» оперативно разработали специальную дешифрующую программу, позволяющую вернуть все пораженные троянцем файлы документов в первоначальное состояние. Мы предлагаем всем, кто столкнулся с вышеуказанной проблемой, обращаться в Службу технической поддержки компании «Доктор Веб» - Вам помогут совершенно бесплатно!

[гость]

Специалисты антивирусной лаборатории компании «Доктор Веб» оперативно разработали специальную дешифрующую программу, позволяющую вернуть все пораженные троянцем файлы документов в первоначальное состояние. Мы предлагаем всем, кто столкнулся с вышеуказанной проблемой, обращаться в Службу технической поддержки компании «Доктор Веб» - Вам помогут совершенно бесплатно!

Это конечно хорошо, но вот у меня он файлы не лечит, пишет "File is not crypted". А Касперский со свежими базами все находит у вылечивает. Никаких тулзов и отдельных файлов .decr. Ну это кому как удобнее.

[Alexey P.]

Значит, просто другой вариант трояна-шифровщика. Эта утиль - для варианта .ac по kav.
В веблоге ЛК еще в июле писали:
---------------------------------------------------------
Все что требуется от пользователя - это прислать один зашифрованный файл в антивирусную лабораторию для анализа.
---------------------------------------------------------
( http://www.viruslist.com/ru/analysis?pubid=166771564 )

То же самое и для drweb - обратитесь в вирус-лаб, отправьте не декодирующиеся утилитой файлы и получите расшифровку.

Хотя, имхо, Ваша мысль верна - правильнее использовать сам антивирус, а не утиль. Утилита - скорее рекламная вещь, антивирус со свежими базами сделает то же самое лучше - не факт, что этот троян один.

[MOCT]

Это конечно хорошо, но вот у меня он файлы не лечит, пишет "File is not crypted". А Касперский со свежими базами все находит у вылечивает. Никаких тулзов и отдельных файлов .decr. Ну это кому как удобнее.

у кого-нибудь есть образец???

[Sanja]

Кста касперы подтянулись..

Со вчерашнего дня (с 27 января) в наших антивирусных обновлениях доступна процедура восстановления зашифрованных файлов. Т.е все обратившиеся пользователи могут восстановить свои данные. Исключение могут составлять лишь некоторые пострадавшие, которые к нам не обращались за помощью и не передавали ключи криптования. Если такие еще есть, то после их обращения в ЛК расшифровка будет оперативно добавлена в антивирусные обновления.

[kvit]

Кто-нибудь проверял это Filename.exe на VirusTotal?

[Alexey P.]

Насчет дрвебовской утилиты расшифровки - пара уточнений:
- к конкретной модификации трояна привязки нет
- в первоначально выложенном варианте была небольшая ошибка - исправлена сразу после обнаружения. Видимо, в сообщении от "гость" - как раз тот случай.