Вирус Troian.encoder

Вторник, 12 Января 2010 г. 08:53 + в цитатник

Сегодня я расскажу о более опасном вирусе — Trojan.Encoder. Данный вирус шифрует и архивирует все текстовые документы, изображения и базы данных в архивы <название.файла>._crypt_.rar. После архивирования он удаляет исходные файлы и оставляет текстовый файл AUTO_RAR_REPORT.TXT и удаляет сам себя, затрудняя узнать способ генерации пароля на архивы. В текстовом файле злоумышленник требует деньги на яндекс кошелёк за утилиту (дешифратор) которая якобы может расшифровать (разархивировать) файлы _crypt_.rar.

Почитав темы на форумах Касперского, вируслаба и доктор веб, я узнал что это очередная модификация Trojan.Encoder который написал и распространял некий Корректор. Dr. Web давно ведёт борьбу с этим вирусом и переодически выпускает утилиты-дешифраторы для каждой новой версии вируса. Корректор это досаждает и он делает пакости в ответ: рассылает вирус с почтового ящика в домене @drweb.ru, добавляет шифрованным файлам расширение .drweb

В декабре 2009 года появилась новая версия Энкодера. Запук архивации запустился по таймеру 22 декабря на многих заражённых этим вирусом компьютерах. На сегодняшний день дешифратора для этой версии нет.

У жертв нового трояна возникает вопрос: Что делать?

Ничего не удалять! Деньги хакерам не платить! — файлы можно будет спасти в будущем.
Постараться поймать файл-вирус. Так как он самоуничтожаемый, то ловить его надо во время работы в корне диска C. Во время архивации процессор сильно грузиться и постоянно горит лампочка работы жесткого диска.

Постарайтесь найти не шифрованные копии своих файлов и отправить пару: шифрованный файл _crypt_ + не шифрованный оригинал (чтобы отправить сразу 2 файла добавьте их в архив) в специальные формы: Dr. Web и Лаборатории Касперского с пометкой «Запрос на лечение». Тогда шансы на расшифровку всего повышаются. Или просто шифрованный файл, вам подскажут есть ли готовая утилита для расшифровки.

Найти некоторые копии файлов можно с помощью утилит восстановления удалённых файлов. Некоторые рекомендуют PhotoRec_Шаг_за_шагом

Вы очень поможете аналитикам, если вспомните, что именно делали непосредственно перед катастрофой. Злодей ещё не пойман, поэтому алгоритм генерации ключей шифрования и все способы распространение вируса остаётся загадкой.

Dr. Web настоятельно просит жертв писать заявления в милицию.

ВЗЯТО ОТ СЮДА http://robin-zone.ru/?p=302#more-302

Метки: troian.encoder

<a href="https://www.liveinternet.ru/users/algreht/post118300162/">Р’РёСЂСѓСЃ Troian.encoder</a><br/>
РЎРµРіРѕРґРЅСЏ СЏ СЂР°СЃСЃРєР°Р¶Сѓ Рѕ Р±РѕР»РµРµ РѕРїР°СЃРЅРѕРј РІРёСЂСѓСЃРµ вЂ” Trojan.Encoder. Р”Р°РЅРЅС‹Р№ РІРёСЂСѓСЃ С€РёС„СЂСѓРµС‚ Рё Р°СЂС…РёРІРёСЂСѓРµС‚ РІСЃРµ С‚РµРєСЃС‚РѕРІС‹Рµ РґРѕРєСѓРјРµРЅС‚С‹, РёР·РѕР±СЂР°Р¶РµРЅРёСЏ Рё Р±Р°Р·С‹ РґР°РЅРЅС‹С… РІ Р°СЂС…РёРІС‹ &lt;РЅР°Р·РІР°РЅРёРµ.С„Р°Р№Р»Р°>._crypt_.rar. РџРѕСЃР»Рµ Р°СЂС…РёРІРёСЂРѕРІР°РЅРёСЏ РѕРЅ СѓРґР°Р»СЏРµС‚ РёСЃС…РѕРґРЅС‹Рµ С„Р°Р№Р»С‹ Рё РѕСЃС‚Р°РІР»СЏРµС‚ С‚РµРєСЃС‚РѕРІС‹Р№ С„Р°Р№Р» AUTO_RAR_REPORT.TXT Рё СѓРґР°Р»СЏРµС‚ СЃР°Рј СЃРµР±СЏ, Р·Р°С‚СЂСѓРґРЅСЏСЏ СѓР·РЅР°С‚СЊ СЃРїРѕСЃРѕР± РіРµРЅРµСЂР°С†РёРё РїР°СЂРѕР»СЏ РЅР° Р°СЂС…РёРІС‹. Р’ С‚РµРєСЃС‚РѕРІРѕРј С„Р°Р№Р»Рµ Р·Р»РѕСѓРјС‹С€Р»РµРЅРЅРёРє С‚СЂРµР±СѓРµС‚ РґРµРЅСЊРіРё РЅР° СЏРЅРґРµРєСЃ РєРѕС€РµР»С‘Рє Р·Р° СѓС‚РёР»РёС‚Сѓ (РґРµС€РёС„СЂР°С‚РѕСЂ) РєРѕС‚РѕСЂР°СЏ СЏРєРѕР±С‹ РјРѕР¶РµС‚ СЂР°СЃС€РёС„СЂРѕРІР°С‚СЊ (СЂР°Р·Р°СЂС…РёРІРёСЂРѕРІР°С‚СЊ) С„Р°Р№Р»С‹ _crypt_.rar.

РџРѕС‡РёС‚Р°РІ С‚РµРјС‹ РЅР° С„РѕСЂСѓРјР°С… РљР°СЃРїРµСЂСЃРєРѕРіРѕ, РІРёСЂСѓСЃР»Р°Р±Р° Рё РґРѕРєС‚РѕСЂ РІРµР±, СЏ СѓР·РЅР°Р» С‡С‚Рѕ СЌС‚Рѕ РѕС‡РµСЂРµРґРЅР°... <a href="https://www.liveinternet.ru/users/algreht/post118300162/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

Комментировать

« Пред. запись — К дневнику — След. запись »

Страницы: [1] [Новые]

LiveInternetLiveInternet

-Музыка

-

-Поиск по дневнику

-Подписка по e-mail

-Статистика

Вирус Troian.encoder