Пароль выслан.

Вход

Скидки

— Санкт-Петербургская антивирусная

лаборатория И. Данилова

О компании О компании

Пресс-центрПресс-центр

КаталогКаталог

ПомощьПомощь

СкачатьСкачать

БлогБлог

Консультант по подбору продуктов

Быстрое оформление покупки

Троянский конь - Trojan.Encoder. Описание троянского коня и программа дешифровки файлов

27 января 2006, 11:08

Службой технической поддержки Dr.Web зафиксированы многочисленные случаи заражений новой троянской программой шифрующей документы на компьютерах пользователей. Данная троянская программа определяется средствами антивирусного пакета Dr.Web как Trojan.Encoder. Запись о данном вредоносном коде внесена в антивирусную базу Dr.Web, 26 января 2006 года.

Краткое описание Trojan.Encoder

Троянская программа приходит на компьютеры потенциальных жертв по электронной почте, в виде вложения к электронному письму.

После запуска вложения пользователем троянская программа активизируется на компьютере-жертве и записывает свою копию под именем Filename.exe в системную директорию.

Создает ключ реестра, для автоматического запуска своей копии в качестве сервиса операционной системы:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

services = Filename.exe

После запуска своей копии, троянская программа сканирует локальные диски компьютера – жертвы находя файлы со следующими расширениями:

"rtf" ,"txt" ,"pdf" ,"csv" ,"frm" ,"css" ,"xls" ,

"mdb" ,"dbf" ,"dbt" ,"db" ,"safe" ,"flb" ,"pst" ,"pwl" ,"pwa" ,"pak" ,"rar" ,

"zip" ,"arj" ,"gz" ,"tar" ,"sar" ,"htm" ,"html" ,"cgi" ,"pl" ,"kwm" ,"pwm" ,

"cdr" ,"dbx" ,"mmf" ,"tbb" ,"xml " ,"frt" ,"frx" ,"gtd" ,"rmr" ,"chm" ,"mo" ,

"man" ,"c" ,"cpp" ,"h" ,"pgp" ,"gzip" ,"lst" ,"pfx" ,"p12" ,"db1" ,"db2" ,

"cnt" ,"sig" ,"css" ,"arh" ,"pem" ,"key" ,"prf" ,"old" ,"rnd" ,"prx"

Шифрует все найденные файлы, с таким расширением используя алгоритм RSA.

Размещает на жестком диске файлы с readme.txt следующего содержания:

Some files are coded by RSA method.

To buy decoder mail: ********34@rambler.ru

with subject: RSA 5 68243170728578411

Отличительные особенности Trojan.Encoder.6:

Данная версия троянской программы использует ключи шифрования большой длины — 260 бит, что затрудняет процесс дешифровки файлов.

На жестком диске компьютера жертвы размещаются текстовые файлы следующего содержания:

Some files are coded by RSA method.

To buy decoder mail: k47674@mail.ru

with subject: REPLY

Уважаемые Пользователи !

Не поддавайтесь шантажу злоумышленников. Соглашаясь на требования злоумышленников, Вы тем самым поощряете их деятельность и спонсируете разработку новых способов получения денег преступным путем.

Дешифровка файлов

Специалисты службы антивирусного мониторинга антивирусной программы Dr.Web разработали утилиту, позволяющую расшифровать пораженные файлы и вернуть их в прежнее состояние. Утилита доступна на сайте по протоколам FTP или HTTP, утилита распространяется бесплатно.

Для расшифровки необходимо запустить данную утилиту со следующими параметрами:

te_decrypt.exe имя_файла_который_требуется_дешифровать

(Вы можете запустить утилиту с помощью пункта «Выполнить» из меню «Пуск» вашей операционной системы)

Обращаем внимание, что дешифрованный с помощью этой утилиты файл будет иметь первоначальное имя с добавленным к нему расширением .decr.

Если на компьютере–жертве зашифровано большое количество файлов, можно использовать утилиту дешифровки вместе с bat файлом следующего содержания:

---- begin "decrypt.bat" ----

for /R %%f in (*.*) do te_decrypt.exe "%%f"

for /R %%i in (*.decr) do move "%%i" "%%~dpni"

---- end "decrypt.bat" ----

Принцип работы данного bat файла

Первая строчка запускает сканирование из текущего каталога по всем его подкаталогам с вызовом декриптора для всех файлов;

Вторая строчка запускает сканирование и переписывает все найденные файлы с именами вида "имя_файла.decr" в файлы "имя_файла"

Источники

www.drweb.com

←5 марта 2007, 11:52

Краткие характеристики решения Dr.Web Антивирус и Антиспам для комплексной защиты от вирусов и нежелательной электронной почты

16 декабря 2005, 18:54→

Возможные проблемы с работой программы автоматического обновления drwebupw.exe