-
Dr.WEB Trojan.Encoder
http://info.drweb.com/show/2746
Trojan.Encoder - не поддавайтесь кибер-шантажу. «Доктор Веб» всегда придет Вам на помощь.
27 января 2006 года
За последние сутки в Службу вирусного мониторинга компании «Доктор Веб» поступило несколько обращений от пользователей, файлы документов которых оказались закодированы неизвестным вирусом. Кроме зашифрованных и поэтому недоступных для прочтения файлов все жертвы вируса обнаружили на своих дисках многочисленные копии файла read.me, в котором содержалось сообщение о том, что файлы пользователя зашифрованы и предлагалось обратиться с письмом на указанный адрес электронной почты для расшифровки файлов.
В этой связи компания «Доктор Веб» информирует своих пользователей, что в данном случае речь идет о поражении системы троянской программой, которая детектируется антивирусным ядром Dr.Web как Trojan.Encoder (добавлен в вирусную базу 26 января 2006 года). Троянская программа попадает на компьютеры своих жертв по электронной почте и прописывает себя в ключ реестра
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
services = Filename.exe
Троянец активируется, используя уязвимость операционной системы. Поселившись на компьютере жертвы, программа ищет файлы со следующими расширениями:
"rtf" ,"txt" ,"pdf" ,"csv" ,"frm" ,"css" ,"xls" ,
"mdb" ,"dbf" ,"dbt" ,"db" ,"safe" ,"flb" ,"pst" ,"pwl" ,"pwa" ,"pak" ,"rar" ,
"zip" ,"arj" ,"gz" ,"tar" ,"sar" ,"htm" ,"html" ,"cgi" ,"pl" ,"kwm" ,"pwm" ,
"cdr" ,"dbx" ,"mmf" ,"tbb" ,"xml " ,"frt" ,"frx" ,"gtd" ,"rmr" ,"chm" ,"mo" ,
"man" ,"c" ,"cpp" ,"h" ,"pgp" ,"gzip" ,"lst" ,"pfx" ,"p12" ,"db1" ,"db2" ,
"cnt" ,"sig" ,"css" ,"arh" ,"pem" ,"key" ,"prf" ,"old" ,"rnd" ,"prx"
и шифрует их с помощью алгоритма RSA. В дальнейшем автор вируса требует со своих жертв деньги за дешифровку. Свой адрес шантажист сообщает в файле readme.txt
Some files are coded by RSA method.
To buy decoder mail: ********[email protected]
with subject: RSA 5 68243170728578411
Специалисты антивирусной лаборатории компании «Доктор Веб» оперативно разработали специальную дешифрующую программу, позволяющую вернуть все пораженные троянцем файлы документов в первоначальное состояние. Мы предлагаем всем, кто столкнулся с вышеуказанной проблемой, обращаться в Службу технической поддержки компании «Доктор Веб» - Вам помогут совершенно бесплатно!
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
umask
Специалисты антивирусной лаборатории компании «Доктор Веб» оперативно разработали специальную дешифрующую программу, позволяющую вернуть все пораженные троянцем файлы документов в первоначальное состояние. Мы предлагаем всем, кто столкнулся с вышеуказанной проблемой, обращаться в Службу технической поддержки компании «Доктор Веб» - Вам помогут совершенно бесплатно!
Это конечно хорошо, но вот у меня он файлы не лечит, пишет "File is not crypted". А Касперский со свежими базами все находит у вылечивает. Никаких тулзов и отдельных файлов .decr. Ну это кому как удобнее.
-
-
Значит, просто другой вариант трояна-шифровщика. Эта утиль - для варианта .ac по kav.
В веблоге ЛК еще в июле писали:
---------------------------------------------------------
Все что требуется от пользователя - это прислать один зашифрованный файл в антивирусную лабораторию для анализа.
---------------------------------------------------------
( http://www.viruslist.com/ru/analysis?pubid=166771564 )
То же самое и для drweb - обратитесь в вирус-лаб, отправьте не декодирующиеся утилитой файлы и получите расшифровку.
Хотя, имхо, Ваша мысль верна - правильнее использовать сам антивирус, а не утиль. Утилита - скорее рекламная вещь, антивирус со свежими базами сделает то же самое лучше - не факт, что этот троян один.
-
-
Сообщение от
гость
Это конечно хорошо, но вот у меня он файлы не лечит, пишет "File is not crypted". А Касперский со свежими базами все находит у вылечивает. Никаких тулзов и отдельных файлов .decr. Ну это кому как удобнее.
у кого-нибудь есть образец???
-
-
Visiting Helper
- Вес репутации
- 76
Кста касперы подтянулись..
Со вчерашнего дня (с 27 января) в наших антивирусных обновлениях доступна процедура восстановления зашифрованных файлов. Т.е все обратившиеся пользователи могут восстановить свои данные. Исключение могут составлять лишь некоторые пострадавшие, которые к нам не обращались за помощью и не передавали ключи криптования. Если такие еще есть, то после их обращения в ЛК расшифровка будет оперативно добавлена в антивирусные обновления.
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
Кто-нибудь проверял это Filename.exe на VirusTotal?
-
Насчет дрвебовской утилиты расшифровки - пара уточнений:
- к конкретной модификации трояна привязки нет
- в первоначально выложенном варианте была небольшая ошибка - исправлена сразу после обнаружения. Видимо, в сообщении от "гость" - как раз тот случай.
-