Можлива розшифровка файлів, зашифрованих Trojan.Encoder.398

25 листопада 2014 року

Компанія «Доктор Веб» повідомляє про успішне створення алгоритму розшифровки файлів, які постраждали від дії троянця-шифрувальника Trojan.Encoder.398 . Завдяки розробленим в ході дослідницьких робіт інструментарію тепер повне відновлення даних, зашифрованих однієї з модифікацій цього небезпечного троянця, можливо приблизно в 90% випадків. На сьогоднішній день розробник антивірусів Dr.Web є єдиною компанією, здатною розшифрувати такі файли.

Троянець-шифрувальник Trojan.Encoder.398 написаний на мові Delphi і по ряду ознак є вдосконаленою версією шкідливої ​​програми Trojan.Encoder.225. Ключі для шифрування файлів користувача Trojan.Encoder.398 отримує з сервера зловмисників. Запустити на комп'ютері, що атакується, троянець копіює себе в одну з системних папок з ім'ям ID.exe, де ID - серійний номер жорсткого диска. потім Trojan.Encoder.398 демонструє на екрані повідомлення про пошкодження архіву і запускає власну копію, яка визначає і відправляє на що належить зловмисникам сервер серійний номер жорсткого диска зараженої машини. У відповідь троянець отримує від віддаленого вузла конфігураційні дані в форматі XML, що містять параметри шифрування: e-mail для зв'язку зі зловмисниками, ключ шифрування і номер алгоритму, який буде обраний для шифрування, а також частина розширення зашифрованих файлів, після чого починається сама процедура шифрування .

На даний момент фахівцям «Доктор Веб» відомо кілька модифікацій Trojan.Encoder.398 , Здатних використовувати до 18 різних алгоритмів шифрування. Троянець може зашифровувати файли з наступними розширеннями: .odt, * .ods, * .odp, * .odb, * .doc, * .docx, * .docm, * .wps, * .xls, * .xlsx, * .xlsm , * .xlsb, * .xlk, * .ppt, * .pptx, * .pptm, * .mdb, * .accdb, * .pst, * .dwg, * .dxf, * .dxg, * .wpd, * .rtf, * .wb2, * .mdf, * .dbf, * .psd, * .pdd, * .eps, * .ai, * .indd, * .cdr, * .jpg, * .jpeg, * .arw , * .dng, * .3fr, * .srf, * .sr2, * .bay, * .crw, * .cr2, * .dcr, * .kdc, * .erf, * .mef, * .mrw, * .nef, * .nrw, * .orf, * .raf, * .raw, * .rwl, * .rw2, * .r3d, * .ptx, * .pef, * .srw, * .x3f, * .der , * .cer, * .crt, * .pem, * .p12, * .p7b, * .pdf, * .p7c, * .pfx, * .odc, * .rar, * .zip, * .7z, * .png, * .backup, * .tar, * .eml, * .1cd, * .dt, * .md, * .dds.

Для зв'язку зловмисники зазвичай використовують такі адреси електронної пошти: [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], filescrypt2014 @ foxmail. com і деякі інші.

До недавнього часу розшифровка файлів, які постраждали від дії троянця Trojan.Encoder.398 , Вважалася неможливою, однак починаючи з травня 2014 року фахівці компанії «Доктор Веб» проводили серйозну науково-дослідну роботу по створенню ефективних алгоритмів розшифровки. Нарешті, ці зусилля принесли свої плоди: на сьогоднішній день «Доктор Веб» є єдиною компанією, фахівці якої з ймовірністю в 90% здатні відновити файли, зашифровані зловмисниками з використанням шкідливої ​​програми Trojan.Encoder.398 з додатковим розширенням *[email protected]_*.

Слід зазначити, що останнім часом в Інтернеті з'явилося безліч пропозицій про платну розшифровці постраждалих від дії шифрувальників файлів, однак достовірно встановлено, що більшість осіб, що пропонують подібні послуги, все одно звертається за допомогою до служби технічної підтримки компанії «Доктор Веб». Звертаємо вашу увагу на те, що компанія «Доктор Веб» здійснює розшифровку файлів безкоштовно для користувачів своїх ліцензійних продуктів. Таким чином, мережеві шахраї фактично пропонують жертвам троянця придбати послугу, яку можна отримати на безоплатній основі. По крайней мере, необхідна ними сума винагороди значно перевищує вартість ліцензії на антивірусні продукти Dr.Web, набуваючи яку, користувач отримує надійний захист своїх персональних комп'ютерів і мобільних пристроїв.

Якщо ви стали жертвою цієї шкідливої ​​програми, скористайтеся наступними рекомендаціями:

• зверніться з відповідною заявою в поліцію;
• ні в якому разі не намагайтеся перевстановити операційну систему;
• не видаляйте ніякі файли на вашому комп'ютері;
• не намагайтеся відновити зашифровані файли самостійно;
• зверніться в службу технічної підтримки підтримки компанії «Доктор Веб» (Ця послуга безкоштовна);
• до тікету прикладіть зашифрований троянцем .DOC-файл;
• дочекайтеся відповіді вірусного аналітика. У зв'язку з великою кількістю запитів це може зайняти деякий час.

Нагадуємо, що послуги з розшифрування файлів виявляються тільки власникам комерційних ліцензій на антивірусні продукти Dr.Web. Виконана фахівцями компанії «Доктор Веб» робота відкриває нові перспективи в боротьбі з троянцями-шифрувальник і дозволяє сподіватися, що в майбутньому все більше жертв подібних шкідливих програм отримають можливість повернути свої файли, які постраждали від дії енкодерів.

Щоб троянець не зіпсував файли, використовуйте захист від втрати даних

Тільки в Dr.Web Security Space версії 9 і 10