Трояны-шифровальщики. Как восстановить зашифрованные файлы? Dr.Web — библиотека бесплатных утилит Дешифровка от trojan encoder 293

Откровенно говоря, я сегодня никак не ожидал столкнуться с, пожалуй, одной из последней модификацией этого вируса. Не так давно я немного уже о нём на своем сайте - пришло время рассказать побольше:)

Как я уже говорил - Trojan.Encoder - это троянская программа, которая шифрует пользовательские файлы. Разновидностей сего ужаса все больше и больше и всего их, по примерным подсчетам, уже около 8 , а именно: Trojan.Encoder.19 , Trojan.Encoder.20 , Trojan.Encoder.21 , Trojan.Encoder.33 , Trojan.Encoder - 43, 44 и 45 и последняя еще, как я понял, не пронумерована. Автором вируса является некий "Корректор ".

Немного информации по версиям (информация взята частично с сайта и частично с сайта ):

Trojan.Encoder.19 - инфицировав систему, троянец оставляет текстовый файл crypted.txt с требованием заплатить 10$ за программу расшифровщик.

Очередная разновидность Trojan.Encoder.19 обходит все несъёмные носители и шифрует файлы с расширениями из следующего списка:
.jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .asf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar, .zip, .db, .mdb, .dbf, .dbx, .h, .c, .pas, .php, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .sol, .jbc, .txt, .pdf.

Trojan.Encoder.20 - новая версия троянской программы-вымогателя, в которой по сравнению с Trojan.Encoder.19 изменен механизм шифрования и генерации ключа.

Trojan.Encoder.21 - новая модификация троянца в файле crypted.txt , которая требует переводить деньги (89$) только с помощью определённой платёжной системы, указанной автором вируса, и не использовать такие системы как PAYPAL и наличные деньги. Для распространения Trojan.Encoder.21 использует сайты, которые известны как активные дистрибьюторы троянцев. Прежние модификации применяли для этого одноразовые ссылки или ссылки с коротким временем работы. Данная особенность Trojan.Encoder.21 может резко увеличить темпы его распространения.

Trojan.Encoder.33 шифрует данные пользователей, однако использует при этом новые механизмы. Опасности подвергаются файлы с расширением *.txt,*.jpg,*.jpeg,*.doc,*.docx,*.xls, которые троянец переносит в папки:
C:\Documents and Settings\Local Settings\Application Data\CDD
C:\Documents and Settings\Local Settings\Application Data\FLR
В то же время оригинальные файлы заменяются сообщением "FileError_22001".

В отличие от прежних модификаций, Trojan.Encoder.33 не выводит никаких сообщений с требованием заплатить различные суммы денег. При этом, функция шифрования данных пользователя осуществляется этим троянцем только в случае, если ему удается связаться с внешним сервером.

Последние отличаются от предыдущих новым ключом шифрования документов, а также новыми контактными данными злоумышленника. Специалисты "Доктор Веб " оперативно создали утилиты, позволяющие расшифровать файлы, доступ к которым был заблокирован новыми модификациями Trojan.Encoder . Но особенно интересна еще одна, самая «свежая» модификация Trojan.Encoder . Эта версия троянской программы добавляет к зашифрованным файлам расширение.DrWeb . Вследствие успешного противодействия Trojan.Encoder со стороны антивируса Dr.Web у автора, видимо, зародилось желание «напакостить» при помощи упоминания нашей торговой марки в названии зашифрованных файлов.

Кроме того, в распоряжении специалистов "Доктор Веб " оказалась ссылка на один из сайтов автора актуальных модификаций Trojan.Encoder . Интересно, что владелец этого ресурса пытается ассоциировать себя с «Доктор Веб », используя образы паука и доктора, в то время как компания не имеет к подобным сайтам никакого отношения. Очевидно, такое оформление используется для того, чтобы запутать неопытных пользователей и скомпрометировать компанию «Доктор Веб ».

Злоумышленник всячески пытается предстать перед пострадавшими с положительной стороны - как человек, помогающий восстановить документы пользователей. На своем сайте он предлагает просмотреть ролик, в котором демонстрируется работа утилиты дешифровки документов, за которую вымогаются деньги.

По имеющимся сведениям можно предполагать, что вымоганием денег после шифрования файлов занимается один человек.

Аналитики компании «Доктор Веб » разработали утилиту дешифровки и предлагают всем пользователям бесплатно её, чтобы восстановить свои файлы. Для удобства пользователей новая версия утилиты снабжена модулем графического интерфейса и носит название Trojan.Encoder Decrypt .

Я сегодня столкнулся с еще какой-то (возможно, что самой новой) версией этой пакости, которая мало того, что зашифровала всё нафиг - так еще и не имеет файла crypted.txt , который необходим программе-дешифровке от dr.web для того, чтобы обратно раскодировать файлы. Более того, сия (или не сия, а какая-нибудь другая) штука напрочь заблокировала доступ к avz -ту и не дает никоим образом запустить его на компьютере. Невозможно ни распаковать скачанный архив с , ни залить на компьютер напрямую папку, короче упирается ногами и руками, отрезая avz -ту базы, которые живут в папке Base и имеют расширение.avz . Хитрость с переименовыванием расширения или удаленным запуском тоже не возымела действия. Пришлось крутится. После разворачивания на компьютере программного комплекса + и тщательной очистки оными без единой перезагрузки компьютера (это важно), а так же после ручного выгрызания левых процессов, элементов автозагрузки, модулей пространства ядра и прочих ужасов жизни avz таки удалось запустить. Комплексный анализ системы по средством оного выявил целую тучку бед, вывел ряд вирусов (сам Encoder был вычищен drweb"ом), но.. Дешифровать файлы специальной программой не выходит в силу отсутствия crypted.txt или любого другого близкого к оному файла. А другого решения я пока не знаю.

Посему, всем заразившимся, настоятельно рекомендую для начала воспользоваться связкой Dr.web Сureit + spybot , а затем обратится напрямую в компанию dr.web за помощью в дешифровке файлов. Обещают помочь и совершенно бесплатно.

Где пользователь подцепил сей вирус я, к сожалению, не знаю.

Спасибо за внимание и держите свой компьютер в безопасности. Это важно.

На основании предварительного анализа вредоносной программы компания "Доктор Веб" представляет рекомендации, как избежать заражения, рассказывает, что делать, если заражение уже произошло, и раскрывает технические подробности атаки.

Наделавший много шума червь-шифровальщик Trojan.Encoder.12544 представляет серьезную опасность для персональных компьютеров, работающих под управлением Microsoft Windows. Различные источники называют его модификацией троянца, известного под именем Petya (Trojan.Ransom.369), но Trojan.Encoder.12544 имеет с ним лишь некоторое сходство. Эта вредоносная программа проникла в информационные системы целого ряда госструктур, банков и коммерческих организаций, а также заразила ПК пользователей в нескольких странах.

На текущий момент известно, что троянец заражает компьютеры при помощи того же набора уязвимостей, которые ранее использовались злоумышленниками для внедрения на компьютеры жертв троянца WannaCry. Массовое распространение Trojan.Encoder.12544 началось в первой половине дня 27.06.2017. При запуске на атакуемом компьютере троянец несколькими способами ищет доступные в локальной сети ПК, после чего по списку полученных IP-адресов начинает сканировать порты 445 и 139. Обнаружив в сети машины, на которых открыты эти порты, Trojan.Encoder.12544 пытается инфицировать их с использованием широко известной уязвимости в протоколе SMB (MS17-10).

В своем теле троянец содержит 4 сжатых ресурса, 2 из которых являются 32- и 64-разрядной версиями утилиты Mimikatz, предназначенной для перехвата паролей открытых сессий в Windows. В зависимости от разрядности ОС он распаковывает соответствующую версию утилиты, сохраняет ее во временную папку, после чего запускает. При помощи утилиты Mimikatz, а также двумя другими способами Trojan.Encoder.12544 получает список локальных и доменных пользователей, авторизованных на зараженном компьютере. Затем он ищет доступные на запись сетевые папки, пытается открыть их с использованием полученных учетных данных и сохранить там свою копию. Чтобы инфицировать компьютеры, к которым ему удалось получить доступ, Trojan.Encoder.12544 использует утилиту для управления удаленным компьютером PsExec (она также хранится в ресурсах троянца) или стандартную консольную утилиту для вызова объектов Wmic.exe.

Контроль своего повторного запуска энкодер осуществляет с помощью файла, сохраняемого им в папке C:\Windows\. Этот файл имеет имя, соответствующее имени троянца без расширения. Поскольку распространяемый злоумышленниками в настоящий момент образец червя имеет имя perfc.dat, то файл, предотвращающий его повторный запуск, будет иметь имя C:\Windows\perfc. Однако стоит злоумышленникам изменить исходное имя троянца, и создание в папке C:\Windows\ файла с именем perfc без расширения (как советуют некоторые антивирусные компании), уже не спасет компьютер от заражения. Кроме того, троянец осуществляет проверку наличия файла, только если у него достаточно для этого привилегий в операционной системе.

После старта троянец настраивает для себя привилегии, загружает собственную копию в память и передает ей управление. Затем энкодер перезаписывает собственный файл на диске мусорными данными и удаляет его. В первую очередь Trojan.Encoder.12544 портит VBR (Volume Boot Record, загрузочная запись раздела) диска C:, первый сектор диска заполняется мусорными данными. Затем шифровальщик копирует оригинальную загрузочную запись Windows в другой участок диска, предварительно зашифровав ее с использованием алгоритма XOR, а вместо нее записывает свою. Далее он создает задание на перезагрузку компьютера, и начинает шифровать все обнаруженные на локальных физических дисках файлы с расширениями.3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.

Троянец шифрует файлы только на фиксированных дисках компьютера, данные на каждом диске шифруются в отдельном потоке. Шифрование осуществляется с использованием алгоритмов AES-128-CBC, для каждого диска создается собственный ключ (это - отличительная особенность троянца, не отмеченная другими исследователями). Этот ключ шифруется с использованием алгоритма RSA-2048 (другие исследователи сообщали, что используется 800-битный ключ) и сохраняется в корневую папку зашифрованного диска в файл с именем README.TXT. Зашифрованные файлы не получают дополнительного расширения.

После выполнения созданного ранее задания компьютер перезагружается, и управление передается троянской загрузочной записи. Она демонстрирует на экране зараженного компьютера текст, напоминающий сообщение стандартной утилиты для проверки дисков CHDISK.

В это время Trojan.Encoder.12544 шифрует MFT (Master File Table). Завершив шифрование, Trojan.Encoder.12544 демонстрирует на экране требование злоумышленников об уплате выкупа.

Если в момент запуска на экране появилось сообщение о запуске утилиты CHDISK, незамедлительно выключите питание ПК. Загрузочная запись в этом случае будет повреждена, но ее можно исправить при помощи утилиты восстановления Windows или Консоли восстановления, загрузившись с дистрибутивного диска. Восстановление загрузочной записи обычно возможно в ОС Windows версии 7 и более поздних, если на диске имеется используемый системой скрытый раздел с резервной копией критичных для работы Windows данных. В Windows XP такой способ восстановления загрузки не сработает. Также для этого можно использовать Dr.Web LiveDisk - создайте загрузочный диск или флешку, выполните загрузку с этого съемного устройства, запустите сканер Dr.Web, выполните проверку пострадавшего диска, выберите функцию «Обезвредить» для найденных угроз.

По сообщениям из различных источников единственный используемый распространителями Trojan.Encoder.12544 ящик электронной почты в настоящее время заблокирован, поэтому они в принципе не могут связаться со своими жертвами (чтобы, например, предложить расшифровку файлов).

С целью профилактики заражения троянцем Trojan.Encoder.12544 компания «Доктор Веб» рекомендует своевременно создавать резервные копии всех критичных данных на независимых носителях, а также использовать функцию «Защита от потери данных» Dr.Web Security Space. Кроме того, необходимо устанавливать все обновления безопасности операционной системы. Специалисты компании «Доктор Веб» продолжают исследование шифровальщика Trojan.Encoder.12544.

Если система заражена вредоносной программой семейств Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl или Trojan-Ransom.Win32.CryptXXX, все файлы на компьютере будут зашифрованы следующим образом:

• При заражении Trojan-Ransom.Win32.Rannoh имена и расширения изменятся по шаблону locked-<оригинальное_имя>.<4 произвольных буквы>.
• При заражении Trojan-Ransom.Win32.Cryakl в конец содержимого файлов добавляется метка {CRYPTENDBLACKDC}.
• При заражении Trojan-Ransom.Win32.AutoIt расширение изменяется по шаблону <оригинальное_имя>@<почтовый_домен>_.<набор_символов>.
  Например, [email protected]_.RZWDTDIC.
• При заражении Trojan-Ransom.Win32.CryptXXX расширение изменяется по шаблонам <оригинальное_имя>.crypt, <оригинальное_имя>.crypz и <оригинальное_имя>.cryp1.

Утилита RannohDecryptor предназначена для расшифровки файлов после заражения Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl или Trojan-Ransom.Win32.CryptXXX версии 1, 2 и 3.

Как вылечить систему

Чтобы вылечить зараженную систему:

1. Скачайте файл RannohDecryptor.zip .
2. Запустите файл RannohDecryptor.exe на зараженной машине.
3. В главном окне нажмите Начать проверку .

1. Укажите путь к зашифрованному и незашифрованному файлу.
   Если файл зашифрован Trojan-Ransom.Win32.CryptXXX, укажите файлы самого большого размера. Расшифровка будет доступна только для файлов равного или меньшего размера.
2. Дождитесь окончания поиска и расшифровки зашифрованных файлов.
3. Перезагрузите компьютер, если требуется.
4. после locked-<оригинальное_имя>.<4 произвольных буквы>Для удаления копии зашифрованных файлов вида успешной расшифровки выберите .

Если файл был зашифрован Trojan-Ransom.Win32.Cryakl, утилита сохранит файл на старом месте с расширением.decryptedKLR.оригинальное_расширение. Если вы выбрали Удалять зашифрованные файлы после успешной расшифровки , трасшифрованный файл будет сохранен утилитой с оригинальным именем.

1. По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена ОС).

   Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt

   Например, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

В системе, зараженной Trojan-Ransom.Win32.CryptXXX, утилита сканирует ограниченное количество форматов файлов. При выборе пользователем файла, пострадавшего от CryptXXX v2, восстановление ключа может занять продолжительное время. В этом случае утилита показывает предупреждение.

Специалисты антивирусной компании «Доктор Веб» разработали методику расшифровки файлов, ставших недоступными в результате действия опасного троянца-энкодера Trojan.Encoder.2843 , известного пользователям под именем «Vault».

Данная версия шифровальщика, получившая по классификации Dr.Web наименование Trojan.Encoder.2843 , активно распространяется злоумышленниками при помощи массовых почтовых рассылок. В качестве вложения в письма используется небольшой файл, содержащий сценарий на языке JavaScript. Этот файл извлекает из себя приложение, которое и выполняет остальные действия, необходимые для обеспечения работы энкодера. Данная версия троянца-шифровальщика распространяется со 2 ноября 2015 года.

Принцип работы этой вредоносной программы также весьма любопытен. В системный реестр Windows записывается зашифрованная динамическая библиотека (.DLL), а в запущенный процесс explorer.exe троянец встраивает небольшой код, который считывает файл из реестра в память, расшифровывает и передает на него управление.

Список шифруемых файлов Trojan.Encoder.2843 также хранит в системном реестре и для каждого из них использует уникальный ключ, состоящий из заглавных латинских букв. Шифрование файлов осуществляется с использованием алгоритмов Blowfish-ECB, сессионный ключ шифруется с использованием RSA при помощи интерфейса CryptoAPI. Каждому зашифрованному файлу присваивается расширение.vault.

Специалисты компании «Доктор Веб» разработали специальную методику, во многих случаях позволяющую расшифровывать поврежденные этим троянцем файлы. Если вы стали жертвой вредоносной программы Trojan.Encoder.2843 , воспользуйтесь следующими рекомендациями:

• обратитесь с соответствующим заявлением в полицию;
• ни в коем случае не пытайтесь переустановить операционную систему, «оптимизировать» или «очистить» ее с использованием каких-либо утилит;
• не удаляйте никакие файлы на вашем компьютере;
• не пытайтесь восстановить зашифрованные файлы самостоятельно;
• обратитесь в службу технической поддержки компании «Доктор Веб» (эта услуга бесплатна для пользователей коммерческих лицензий Dr.Web);
• к тикету приложите любой зашифрованный троянцем файл;
• дождитесь ответа специалиста службы технической поддержки; в связи с большим количеством запросов это может занять некоторое время.

Напоминаем, что услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. Компания «Доктор Веб» не дает полной гарантии расшифровки всех поврежденных в результате действия энкодера файлов, однако наши специалисты приложат все усилия, чтобы спасти зашифрованную информацию.

"Доктор Веб" выпустил бесплатную утилиту дешифровки от новой версии троянца-вымогателя Trojan.Encoder.19

Компания «Доктор Веб» сообщает о появлении нового троянца, который шифрует пользовательские файлы. В классификации компании «Доктор Веб» троянская программа получила название Trojan.Encoder.19. Инфицировав систему, троянец оставляет текстовый файл crypted.txt с требованием заплатить 10$ за программу расшифровщик.

Как использовать утилиту
Запустите расшифровку файлов на всем диске C:. Для этого запустите программу, со следующими параметрами командной строки:

Файлы на диск С: будут расшифрованы. По окончании работы утилиты рядом с шифрованными файлами.crypt должны появиться расшифрованные файлы без окончания.crypt. Шифрованные файлы удалять не надо, т.к. не исключена возможность некорректной расшифровки.

Если Вам не удалось расшифровать некоторые файлы, просим присылать на адрес [email protected] файл crypted.txt из корня диска C: и несколько образцов зашифрованных файлов.

(Информация со страницы производителя)

Эта программа была предложена: Wiper_off

Данное описание, скорее всего, было написано пользователем и потому может отличаться от мнения редакции loadion.com. Пожалуйста, имейте в виду, что эта площадка может использоваться только в легальных целях и мы дистанцируемся от любого неправомерного использования.