+38/050/370-3627
+38/067/502-3306
+38/044/257-2444
Новини

Утиліта дешифрування для постраждалих від Trojan.Encoder.252

Один із виявлених способів розповсюдження цієї шкідливої ​​програми — поштове розсилання з вкладенням, яке відправляється нібито від арбітражного суду. Запустившись на комп'ютері жертви, троянець зберігає свою копію в одній із системних папок під ім'ям svhost.exe, модифікує відповідну за автоматичне завантаження програм гілка системного реєстру і запускається.

Троянець Trojan.Encoder.252 шифрує файли тільки в тому випадку, якщо інфікований комп'ютер підключено до Інтернету. При цьому шкідлива програма послідовно обходить дискові накопичувачі від: до N: і отримує список файлів із заданими розширеннями (.jpg, .jpeg, .doc, .rtf, .xls, .zip, .rar, .7z, .docx, . pps, .pot, .dot, .pdf, .iso, .ppsx, .cdr, .php, .psd, .sql, .pgp, .csv, .kwm, .key, .dwg, .cad, .crt, .pptx, .xlsx, .1cd, .txt, .dbf), який зберігає текстовий файл. Потім Trojan.Encoder.252 перевіряє доступність своїх серверів, на які згодом надсилається ключ шифрування. Якщо дані сервери недоступні, троянець виводить на екран повідомлення нібито від арбітражного суду із пропозицією перевірити налаштування підключення до Інтернету. У разі успішного завершення шифрування до імен файлів дописується рядок Crypted

Також на комп'ютері жертви з'являється текстовий файл ПРОЧИТО.txt, що містить ID для розшифрування файлів, унікальний для кожного комп'ютера.

Незважаючи на те , що на кількох тематичних ресурсах в Інтернеті повідомлялося про неможливість розшифрування файлів в силу особливостей, що використовуються троянцем Trojan.Encoder.252 алгоритмів шифрування, фахівці компанії «Доктор Веб» розробили спеціальну утиліту, що успішно справляється з цим завданням. Щоправда, для підбору ключів знадобиться комп'ютер із потужною апаратною конфігурацією: на звичайних домашніх ПК цей процес може зайняти близько місяця, проте на сервері, оснащеному 24 процесорними ядрами, було встановлено своєрідний рекорд: ключ вдалося підібрати за 20 годин. Ця утиліта стала своєрідним випробувальним полігоном для безлічі інноваційних ідей, народжених вірусними аналітиками «Доктор Веб» — всі ці ідеї будуть застосовуватися і в майбутньому для розшифровки файлів, що постраждали від дії троянців-енкодерів файлів. Дослідження в галузі розробки нових методів боротьби з шифрувальниками тим часом продовжуються.
Якщо ви стали жертвою шкідливої ​​програми Trojan.Encoder.252, дотримуйтесь простих правил , які допоможуть вам повернути зашифровані файли:
Пам'ятайте, що у зв'язку з великою кількістю запитів персональна допомога у розшифровці файлів надається лише ліцензійним користувачам продукції Dr.Web. Фахівці компанії закликають користувачів не нехтувати необхідністю регулярного резервного копіювання інформації, що зберігається на дисках вашого комп'ютера.

Інші новини