Путеводитель по сайту

Как расшифровать файлы, зашифрованные вирусом Trojan.Encoder?

English version Распечатать

 

***

Как расшифровать файлы, зашифрованные вирусом Trojan.Encoder?

И сказал вирусописатель вирусам: «Плодитесь и размножайтесь!..».

(Компьютерные байки)

 

 

Что за зверь Trojan.Encoder?

13 августа 2008 г. компания «Доктор Веб» сообщила о появлении троянской программы-вымогателя, которая шифрует пользовательские файлы, после чего вирус самоликвидируется, оставляя в корне диска C:\ текстовый файл crypted.txt с требованием заплатить 10$ (варианты: 30€, 89$) за программу-расшифровщик.

 

***

Какие файлы зашифровывает вирус

Троян шифрует файлы с расширениями: .jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .asf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar, .zip, .db, .mdb, .dbf, .dbx, .h, .c, .pas, .php, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .sol, .jbc, .txt, .p.

Зашифрованные файлы можно различить по расширению .crypt.

 

***

Пути распространения вируса

Вирус распространяется через заражённые сайты, пользуясь уязвимостями интернет-браузеров.

 

***

Классификация вируса

В классификации компании «Доктор Веб» троянская программа получила название Trojan.Encoder.19.

В начале сентября 2008 г. появилась новая версия трояна Trojan.Encoder.20, в которой по сравнению с Trojan.Encoder.19 изменен механизм шифрования и генерации ключа.

 

Примерное содержимое файла crypted.txt:

Your files have been encrypted!

The decryption utility costs 10$!

More:

http://decryptor.******

E-mail: decryptor2008@******

ICQ: *******

S/N BF_3-pUChT$+bm5

Do not delete or modify the file!!!

 

 

***

Как расшифровать файлы, зашифрованные вирусом Trojan.Encoder?

По ссылке ftp://ftp.drweb.com/pub/drweb/windows/te19decrypt.exe скачайте бесплатную утилиту для расшифровки файлов (233КБ);

– запустите файл te19decrypt.exe;

– в окне утилиты нажмите Продолжить;

– если появится окно Error с сообщением «Не могу получить ключевой файл c:\crypted.txt. Вы хотите указать его расположение вручную?», нажмите OK;

– в окне Открыть укажите расположение файла crypted.txt;

утилита расшифрует зашифрованные файлы.

 

***

Послесловие

В конце декабря 2009 г. началось распространение новой версии Trojan.Encoder. Вредоносная программа использует алгоритм шифрования AES-256, который очень устойчив к взлому. Оригинальный файл после создания его «запароленной» копии удаляется.

Специалисты компании «Доктор Веб» расшифровали пароль, который использует Trojan.Encoder для архивации и шифрования файлов. Достаточно разархивировать архив, созданный Trojan.Encoder, любым архиватором и ввести следующий пароль:

HF8374-SF3GV-DFGT3G-343G2-VBBRT-34RGD-SE4GBB-4534V

 

 

Примечания

1. Не удаляйте файл crypted.txt (на инфицированном ПК расположен в корне диска c:\). Удаление crypted.txt может сделать невозможной расшифровку файлов.

2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами (см. Как выбрать антивирус?) с регулярно (не менее одного раза в неделю!) обновляемыми базами.

3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?).

 

Валерий Сидоров

 

 

 

***

Раскрывая тайны Windows…

Дело о…

Статьи о ПК и PC

Вирусы vs. антивирусы

Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …

Apps for iPad, iPhone, iPod touch…

 

 

 

 

 

Путеводитель по сайту

18+

© Сидоров В.В. 2016. All rights reserved.

Авторство всех материалов сайта http://netler.ru принадлежит Валерию Сидорову и охраняется Законом о защите авторских прав. Использование материалов сайта в offline-изданиях без согласования с автором категорически запрещается. В online-изданиях разрешается использовать материалы сайта при условии сохранения имени и фамилии автора и активной гиперссылки на сайт http://netler.ru.