Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Trojan.Encoder.398

Добавлен в вирусную базу Dr.Web: 2014-01-15

Описание добавлено:

Троянец-шифровальщик, написанный на языке Delphi, является, по всей видимости, развитием вредоносной программы Trojan.Encoder.225. Ключи для шифрования получает с сервера злоумышленников.

При первом запуске копирует себя в папку %APPDATA%\ID\ с именем ID.exe, где ID — серийный номер жесткого диска. Затем демонстрирует на экране сообщение о том, что архив поврежден, и запускает скопированный файл с каталогом по умолчанию C:\, после чего завершается.

Второй запущенный экземпляр троянца проверяет наличие каталога %APPDATA%\ID, получает серийный номер жесткого диска и отправляет его на сервер при помощи функции InternetOpenUrlA. В ответ троянец получает от сервера конфигурационные данные в формате XML, содержащие параметры шифрования: e-mail для связи со злоумышленниками, ключ шифрования и номер алгоритма, который будет выбран для шифрования, а также часть расширения зашифрованных файлов (параметр ext).

После инициализации переменных начинается шифрование файлов. Шифрует только фиксированные диски (DRIVE_FIXED). Не шифрует файлы в следующих каталогах:

$RECYCLE.BIN, Windows,Program Files (x86), Program Files, Games, ProgramData, UpdatusUser, AppData, Application Data, Cookies, Local Settings, NetHood, PrintHood, Recent, SendTo, Главное меню, Поиски, Ссылки, System Volume Information, Recovery, NVIDIA, Intel, DrWeb Quarantine, Config.Msi, All Users, Все пользователи.

Сохраняет в каждом каталоге файл 'КАК_PАЗБЛOКИРOВАТЬ_ВАШИ_ФAЙЛЫ.txt' со следующим содержимым:

Все ваши файлы были зашифрована криптостойким алгоритмом.

Расшифровать файлы можно только имея дешифратор и уникальный для вашего ПК пароль для расшифровки.

Приобрести дешифратор вы можете в течение 7 дней после прочтения этого сообщения. В дальнейшем пароль удаляется из базы и расшифровать ваши файлы будет невозможно.

Для покупки дешфратора напишите на наш email - mrcrtools@aol.com

Если хотите убедится, что у нас действительно есть дешифратор для расшифровки ваших файлов, приложите к письму любой зашифрованный файл (кроме баз данных) и мы вышлем его расшифрованную версию.

Стоимость дешифратора 5000 рублей. Варианты оплаты вышлем также в ответе на ваше письмо.

Email для связи с нами - mrcrtools@aol.com

Троянец содержит в себе обширный список расширений файлов, которые подвергаются шифрованию:

ak|.BAK|.rtf|.RTF|.pdf|.PDF|.mdb|.MDB|.b2|.B2|.mdf|.MDF|.accdb|.ACCDB|.eap|.EAP|.swf|.SWF|
.svg|.SVG|.odt|.ODT|.ppt|.PPT|.pptx|.PPTX|.xps|.XPS|.xls|.XLS|.cvs|.CVS|.dmg|.DMG|.dwg|.DWG|
.md|.MD|.elf|.ELF|.1CD|.1cd|.DBF|.dbf|.jpg|.JPG|.jpeg|.JPEG|.psd|.PSD|.rtf|.RTF|.MD|.dt|.DT|
.cf|.CF|.max|.MAX|.dxf|.DXF|.dwg|.DWG|.dds|.DDS|.3ds|.3DS|.ai|.AI|.cdr|.CDR|.svg|.SVG|
.txt|.TXT|.csv|.CSV|.7z|.7Z|.tar|.TAR|.gz|.GZ|.bakup|.BAKUP|.djvu|.DJVU|

Вредоносная программа может использовать следующие алгоритмы шифрования (в указанном порядке):

  1. DES
  2. RC2
  3. RC4
  4. RC5
  5. RC6
  6. 3DES
  7. Blowfish
  8. AES (Rijndael)
  9. ГОСТ 28147-89
  10. IDEA
  11. Tea
  12. CAST-128
  13. CAST-256
  14. ICE
  15. Twofish
  16. Serpent
  17. MARS
  18. MISTY1

Способ шифрования выбирается исходя из значения параметра, получаемого в конфигурационном XML-файле.

После первоначального цикла шифрования всех дисков запускает второй цикл, в котором шифрует базы данных 1С в каталогах Program Files и Program Files (x86).

Список расширений шифруемых файлов:

|.dbf|.DBF|.1cd|.1CD|.dt|.DT|.md|.MD|.dds|.DDS|

Помимо описанной выше версии троянца существует еще несколько модификаций данной вредоносной программы:

  1. С использованием адреса электронной почты back_files@aol.com.

    Размещает на диске файл с сообщением от вымогателей следующего содержания:

    Ваши файлы зашифрованы.
    Расшифровать файлы можно, купив дешифратор и уникальный для вашего компьютера пароль.
    Стоимость дешифратора 5000 рублей, чтобы купить дешифратор напишите нам на email - back_files@aol.com.
    Если вам нужно убедится в нашей возможности расшифровки файлов, можете приложить к письму любой, кроме баз данных файл и мы вышлем его оригинальную версию.

  2. С использованием адреса электронной почты backyourfile@aol.com.

    При первом запуске записывает в ключ реестра Software\ENCRYPTOR следующие параметры:

    • files — путь к текстовому файлу, содержащему список всех зашифрованных файлов
    • hid — серийный номер жесткого диска
    • inst — флаг установки (true/false)
    • mg — путь к html-файлу с требованиями злоумышленников
    • p — путь к исполняемому файлу энкодера
    • w — путь к графическому файлу с требованиями злоумышленников

    Размещает в папке автозагрузки HTML-файл с текстом следующего содержания:

    Все ваши файлы были зашифрованы с помощью криптостойкого алгоритма!
    Расшифровать ваши файлы не зная уникальный для вашего ПК пароль невозможно!
    Любая попытка изменить файл приведет к невозможности его восстановления!
    Стоимость дешифратора 5000 рублей.
    Купить дешифратор и пароль для расшифровки можно написав нам на email:
    backyourfiles@aol.com
    Если Вы хотите убедится в возможности восстановления ваших файлов, прикрепите к письму какой-нибудь зашифрованный файл и мы его расшифруем.

    В качестве обоев Рабочего стола Windows устанавливает следующее графическое изображение:

    Список расширений шифруемых файлов:

    *.odt,*.ods,*.odp,*.odb,*.doc,*.docx,*.docm,*.wps,*.xls,*.xlsx,*.xlsm,*.xlsb,*.xlk,*.ppt,*.pptx,*.pptm,
    *.mdb,*.accdb,*.pst,*.dwg,*.dxf,*.dxg,*.wpd,*.rtf,*.wb2,*.mdf,*.dbf,*.psd,*.pdd,*.eps,*.ai,*.indd,*.cdr,
    *.jpg,*.jpeg,*.arw,*.dng,*.3fr,*.srf,*.sr2,*.bay,*.crw,*.cr2,*.dcr,*.kdc,*.erf,*.mef,*.mrw,*.nef,*.nrw,*.orf,
    *.raf,*.raw,*.rwl,*.rw2,*.r3d,*.ptx,*.pef,*.srw,*.x3f,*.der,*.cer,*.crt,*.pem,*.p12,*.p7b,
    *.pdf,*.p7c,*.pfx,*.odc,*.rar,*.zip,*.7z,*.png,*.backup,*.tar,*.eml,*.1cd,*.dt,*.md,*.dds

    Вредоносная программа может использовать следующие алгоритмы шифрования (в указанном порядке):

    1. Blowfish
    2. CAST-128
    3. CAST-256
    4. DES
    5. ГОСТ 28147-89
    6. ICE
    7. IDEA
    8. MARS
    9. MISTY1
    10. 3DES
    11. RC4
    12. RC5
    13. RC6
    14. AES (Rijndael)
    15. Serpent
    16. TEA
    17. Twofish
    18. RC2
  3. С использованием адреса электронной почты vernut2014@qq.com.

    При запуске демонстрирует на экране сообщение «Файл поврежден». Создает в системном реестре Windows ключ HKCU\Software\LIMITED, в котором сохраняет следующие параметры:

    • pth — путь к исполняемому файлу троянца
    • installd (возможное значение — true)
    • wall — путь к графическому файлу с требованиями злоумышленников
    • msge — путь к html-файлу с требованиями злоумышленников. Этот путь троянец также сохраняет в ветви системного реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    • files — путь к текстовому файлу с требованиями злоумышленников
    • huid — идентификатор инфицированного компьютера

    Сохраняет файлы со случайным именем в подпапках директории %APPDATA%, имена которых также назначаются случайным образом.

  4. С использованием адреса электронной почты yourfiles2014@yahoo.com.

    Размещает в папке автозагрузки HTML-файл с текстом следующего содержания:

    Все ваши файлы были зашифрованы с помощью одного из криптостойких алгоритмов!!!
    Расшифровать файлы не зная уникальный для вашего компьютера пароль невозможно!
    Любая попытка изменить файл приведет к невозможности его восстановления!
    Стоимость дешифратора 5000 рублей.
    Купить дешифратор и пароль для расшифровки можно написав нам на email:
    yourfiles2014@yahoo.com
    Если хотите убедится в возможности расшифровки ваших файлов, прикрепите к письму какой-нибудь зашифрованный файл и мы вышлем его оригинал.

    В качестве обоев Рабочего стола Windows устанавливает следующее графическое изображение:

  5. С использованием адреса электронной почты restorefiles2014@yahoo.fr.

    Размещает в папке автозагрузки HTML-файл с текстом следующего содержания:

    Все ваши документы были зашифрованы одним из криптостойких алгоритмов. Расшифровать файлы не зная уникальный для вашего ПК пароль и тип шифрования невозможно!
    Не пытайтесь изменять название, структуру файлов или расшифровывать файлы различными дешифраторами выложеными в сети, это приведет к невозможности их восстановления.
    Стоимость дешифратора для ваших файлов 5000 рублей.
    Купить дешифратор и пароль для расшифровки можно связавшись с нами по email:
    restorefiles2014@yahoo.fr
    Если вам нужно убедится в возможности расшифровки ваших файлов, прикрепите к письму какой-нибудь зашифрованный файл и мы вышлем его оригинальную версию.

    В качестве обоев Рабочего стола Windows устанавливает следующее графическое изображение:

  6. С использованием адреса электронной почты filescrypt2014@foxmail.com.

    В настоящий момент существует 90%-я вероятность расшифровки файлов, пострадавших от действия вредоносных программ семейства Trojan.Encoder.398.

Новость об угрозе

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке