Утиліта дешифрування для постраждалих від Trojan.Encoder.252
Один із виявлених способів розповсюдження цієї шкідливої програми — поштове розсилання з вкладенням, яке відправляється нібито від арбітражного суду. Запустившись на комп'ютері жертви, троянець зберігає свою копію в одній із системних папок під ім'ям svhost.exe, модифікує відповідну за автоматичне завантаження програм гілка системного реєстру і запускається.
Троянець Trojan.Encoder.252 шифрує файли тільки в тому випадку, якщо інфікований комп'ютер підключено до Інтернету. При цьому шкідлива програма послідовно обходить дискові накопичувачі від: до N: і отримує список файлів із заданими розширеннями (.jpg, .jpeg, .doc, .rtf, .xls, .zip, .rar, .7z, .docx, . pps, .pot, .dot, .pdf, .iso, .ppsx, .cdr, .php, .psd, .sql, .pgp, .csv, .kwm, .key, .dwg, .cad, .crt, .pptx, .xlsx, .1cd, .txt, .dbf), який зберігає текстовий файл. Потім Trojan.Encoder.252 перевіряє доступність своїх серверів, на які згодом надсилається ключ шифрування. Якщо дані сервери недоступні, троянець виводить на екран повідомлення нібито від арбітражного суду із пропозицією перевірити налаштування підключення до Інтернету. У разі успішного завершення шифрування до імен файлів дописується рядок Crypted
Також на комп'ютері жертви з'являється текстовий файл ПРОЧИТО.txt, що містить ID для розшифрування файлів, унікальний для кожного комп'ютера.
Незважаючи на те , що на кількох тематичних ресурсах в Інтернеті повідомлялося про неможливість розшифрування файлів в силу особливостей, що використовуються троянцем Trojan.Encoder.252 алгоритмів шифрування, фахівці компанії «Доктор Веб» розробили спеціальну утиліту, що успішно справляється з цим завданням. Щоправда, для підбору ключів знадобиться комп'ютер із потужною апаратною конфігурацією: на звичайних домашніх ПК цей процес може зайняти близько місяця, проте на сервері, оснащеному 24 процесорними ядрами, було встановлено своєрідний рекорд: ключ вдалося підібрати за 20 годин. Ця утиліта стала своєрідним випробувальним полігоном для безлічі інноваційних ідей, народжених вірусними аналітиками «Доктор Веб» — всі ці ідеї будуть застосовуватися і в майбутньому для розшифровки файлів, що постраждали від дії троянців-енкодерів файлів. Дослідження в галузі розробки нових методів боротьби з шифрувальниками тим часом продовжуються.
Якщо ви стали жертвою шкідливої програми Trojan.Encoder.252, дотримуйтесь простих правил , які допоможуть вам повернути зашифровані файли:
- не змінюйте розширення зашифрованих файлів;
- не встановлювати заново операційну систему — у цьому випадку повернути дані буде вже неможливо; < li>не намагайтеся «чистити» або лікувати операційну систему з використанням різних утиліт та спеціальних додатків;
- не запускайте утиліти Dr.Web самостійно, без консультації з вірусним аналітиком;
- напишіть заяву про скоєний злочин до правоохоронних органів;
- зверніться до антивірусну лабораторію< /a> компанії «Доктор Веб», надіславши зашифрований троянцем DOC-файл і дочекайтеся відповіді вірусної аналітика.
Пам'ятайте, що у зв'язку з великою кількістю запитів персональна допомога у розшифровці файлів надається лише ліцензійним користувачам продукції Dr.Web. Фахівці компанії закликають користувачів не нехтувати необхідністю регулярного резервного копіювання інформації, що зберігається на дисках вашого комп'ютера.