Зашифрованы файлы, vscrypt - новый всплеск активности

[Kuzz]

Новость от этом на нашем официальном сайте, я думаю, выйдет через несколько часов, но тут я изложу свое видение ситуации.
И так, сейчас в рунете беспрецедентный всплеск распространения Trojan.Encoder одной из версий. Десятки обратившихся за помощью в расшифровке файлов в сутки, около 40-50 детектирований нашим продуктом. Учитывая, что это только часть реальные цифры мне представляются в районе сотни-другой инцидентов в день.

А в результате, милые мою пользователи, вы поимеете зашифрованными ВСЕ файлы на машине. Система будет работать, а документы станут недоступны и получат дополнительное расширение VSCRYPT. Сейчас эта зараза ходит под видом файльшивой открытки от mail.ru, поэтому будте с ними осторожны.

Троян после шифрования файлов меняет обои рабочего стола, вы это точно заметите.

Итак, что нужно и что не нужно делать:
1) Успокоится, файлы поддаются расшифровке, у нас есть все нужные утилиты.
2) Тихо и спокойно обратиться в нашу техподдержку http://new-support.drweb.com/new/tech/ прислать шифрованный файл и описать ситуацию. Или прислать шифрованный файл с описанием ситуации через http://vms.drweb.com/sendvirus/ в категорию "запрос на лечение", или написать на форум в этот раздел http://forum.drweb.com/index.php?showforum=35
3) Сообщить мне. Комментом в этот пост, через SMS, звонок в разумное время (с 10.00 до 00.00) или иным образом.
4) Ждать ответа и утилиты для расшифровки.

НЕЛЬЗЯ:
1) чистить систему чем-то кроме антивирусов. Марки приводить не буду, но думаю все, что есть на этой странице http://www.virustotal.com/sobre.html юзать можно. Но вообще не рекомендую. Трояна в системе уже нет наверняка, а если есть и его удалить можно потерять ключ для расшифровки.
2) Чистить что либо в системе - историю, темпы, и т.д.
3) Переставлять браузеры (!!!)
4) Откатывать систему через точки восстановления (это вообще очень плохо, почему - позже).
5) Удалять письмо с фальшивой открыткой.
Короче, не уверен - не делай. Лучше просто ждать. Подождать день до расшифровки или неделю до вскрытия нового ключа - согласитесь, две большие разницы.

Теперь почему всего этого делать НЕЛЬЗЯ: возможно появление новой модификации с неизвестным пока ключем. И хотя восстановить файлы можно даже без ключа, но это изрядная проблема на несколько дней. А в нечищеной системе всегда остаются следы, которые могут помочь найти ключ для расшифровки.

Владимир Мартьянов

[SDA]

....Лучше просто ждать. Подождать день до расшифровки или неделю до вскрытия нового ключа - согласитесь, две большие разницы....

...И хотя восстановить файлы можно даже без ключа, но это изрядная проблема на несколько дней.....
Бекап делается в течении 15-20 минут
но прислать шифрованный файл желательно

[Delph]

а есть ещё какие-нибудь признаки,и где искать эти файлы?Только я систему уже откатил,но обои вроде не менялись.

[Kuzz]

А вот собственно и уведомление от DrWeb

[SDA]

Несогласен с Вебом по поводу бекапа. Восстановление из бекапа наилучшее решение проблемы. А высылать или не высылать зашифрованный файл это моя добрая воля.

[Kuzz]

Несогласен с Вебом по поводу бекапа. Восстановление из бекапа наилучшее решение проблемы. А высылать или не высылать зашифрованный файл это моя добрая воля.

Собственно по поводу бекапа там не точное высказывание. Точнее сказано в новости http://virusinfo.info/showpost.php?p=477772&postcount=1

Если все данные сбекаплены - этот криптор и не страшен. Другой вопрос, когда есть образ системы, а вот "свежие" данные...

[valho]

Похоже у самого злодея не выходит при каких то обстоятельствах расшифровать своё творение и он от веба утилиту продаёт
Уж очень завышенная самооценка у них о себе (skrin)

[Kuzz]

Наглость автора Trojan.Encoder перешла все границы

2 октября была зафиксирована спам-рассылка электронных писем якобы с адреса одного из сотрудников компании «Доктор Веб». При этом использовался стандартный для вирусописателей прием – подмена адреса отправителя. Компания «Доктор Веб» официально заявляет, что не имеет отношения к этой рассылке. Таким образом пытается выместить на нас неприкрытую злобу и собственное бессилие кибер-преступник и просто заурядный вор – автор троянской программы Trojan.Encoder.

Сегодня автор троянской программы Trojan.Encoder, путем подмены адреса отправителя, осуществил рассылку спам-сообщений якобы с адреса одного из сотрудников компании «Доктор Веб».

Данные действия злоумышленника были вызваны активностью компании «Доктор Веб», которая всячески помогает пользователям избавиться от различных модификаций Trojan.Encoder, шифрующих данные на зараженных компьютерах.

news.drweb.com

[OSSP2008]

Наглость автора Trojan.Encoder перешла все границы

PRасы

[Lexxus]

Kuzz, а есть примерный текст письма?

[Kuzz]

Lexxus, у меня - нету

[Kuzz]

А мы взяли и сделали универсальную тулзу! :-)

http://v-martyanov.livejournal.com/7577.html

[Kuzz]

Продолжение истории:

Новый троянчег:

И опять шифрует файлы, аффтар новый.

Сейчас делаем тулзу для расшифровки. Ключевое слово - ip62574, пусть гугль его знает :-)

Поможем гуглу узнать))

[Kuzz]

567979714
SMS "212525" (без кавычек) на номер 8353
[email protected]
41001473616253


Зашифрованы файлы? Знакомы строки выше? Обращайтесь в Dr.Web (http://www.drweb.com/), мы поможем расшифровать ваши файлы!

+

Аффтары троянчега, которые просят отправить SMS на номер 7122 с текстом "GASTROLI" (без кавычек)
......

Кстати, ключ для расшифровки D16E23pu7r266t5PfK757y1JM9DY5Q8G, только не закрывайте окошко ввода ключа!!! Эти долботрясы расшифровку в отдельную нитку не вывели, так что окошко подвисает.