THE HEDGEHOG
|
Рейтинг: 613/-232
|
|
--
написано 13-4-2012 16:06
THE HEDGEHOG
quote:
Originally posted by jaw:
ДРВеб - так сказал по нему...
https://izhevsk.ru/forummessage/35/2511031.html#m19049509
Думаете в личке что-то кроме общих фраз было?
quote:
из ПМ от Lotta
Борьба с вирусами семейства Trojan.Encoder (вирусы-
шифровальщики)
Троянцы семейства Trojan.Encoder (http://vms.drweb.com/virus/?i=472 ) - один из самых непри-
ятных типов вредоносного ПО. Активировавшись в системе, они шифруют содержащиеся
на диске файлы, делая их содержимое недоступным для приложений и самого пользова-
теля. Шифрование может производиться по нескольким алгоритмам, чаще всего XOR (метод
шифрования, основанный на операции <исключающее ИЛИ> - eXclusive OR) и различные моди-
фикации TEA (Tiny Encryption Algorithm, блочный алгоритм шифрования). Шифровке подвер-
гаются файлы наиболее распространенных типов: .rtf, .txt, .pdf, .xls, .rar, .zip, .xml, .c, .cpp, .h,
.pgp, .jpg .jpeg, .psd, .mov, .doc, .docx, .xlsx, .ppt, .pptx, .db, .mdb, .dbf, .php, .mp3 и многие другие.
Исполняемые файлы программ, как правило, не шифруются, но сами приложения становятся
бесполезными, поскольку все обрабатываемые ими файлы делаются недоступными.
Этот вид вредоносного ПО обычно распространяется через электронную почту и Интернет,
могут использовать уязвимости браузеров.
К вопросам восстановления данных после атаки Trojan.Encoder нужно подходить очень осто-
рожно, поскольку неверные действия могут привести к потере зашифрованных данных.
Постановка проблемы: имеется компьютер, рабочие файлы которого зашифрованы троянцем.
Наша задача восстановить всю информацию, после чего удалить вредоносное ПО из системы.
Для достижения цели необходимо будет выполнить следующие шаги:
Шаг 1. Необходимо определить, какой именно модификацией Trojan.Encoder поражена
система. Основные модификации шифровальщиков отличаются следующими признаками:
К зашифрованным файлам добавилось одно из расширений: .icq550946977, .pizdec,
.GpCODE, .а. Указывает на вирус Trojan.Encoder.94.
К зашифрованным файлам добавилось одно из расширений: .korrektor, .exe, .bloc,
.gggg, .diablo, .cool, .vhd, .mmm, .kis, .mis, .web. Любое из них могут иметь файлы, зашиф-
рованные Trojan.Encoder.71.
К зашифрованным файлам добавилось расширение .Crypted. Результат деятельности
Trojan.Encoder.91.
К зашифрованным файлам добавилось расширение .Encrypted. Оно присваивается
файлам при шифровании троянцами Trojan.Encoder.94 и Trojan.Encoder.99.
Файлы сжаты в ZIP-архивы, защищенные паролем. Это специфика Trojan.Encoder.68.
Расширение файлов не меняется, на рабочем столе появляется сообщение с требова-
нием оплаты и данными для платежа. Также в конец зашифрованных файлов добави-
лись строки вида: "B3E36CB6475B5EB08D9507E09A0978880C28E1E3F6497B93C945738DB
5D7B31DC2BDBFDF14E797DC". Этим отличается Trojan.Encoder.102.
Расширение файлов не изменилось, но на рабочем столе появилось сообщение,
аналогичное приведенному на рисунке ниже:
Все ваши файлы заблокированы для
разблокировки посетите сайт:
вам присвоен ID Сообщите его в гостевой сайта
без него поиск лекарства будет затруднителен
ВАШ ID 197
http:// .org/
Здесь важно обратить внимание на ID и запомнить его. Подобным образом файлы шифрует
Trojan.Encoder.96.
56
Анализ активных заражений и лечение инфицированных систем
с помощью антивирусного ПО компании <Доктор Веб>
57
Учебное пособие
Шаг 2. Исходя из названия троянской программы, можно подобрать соответствующую утилиту
для дешифровки. Компанией <Доктор Веб> выпущены бесплатные утилиты для восстановления
файлов после поражения системы вирусами-шифровальщиками. Утилиты можно скачать по
ссылке: ftp://ftp.drweb.com/pub/drweb/tools. Описанным выше шифровщикам соответствуют
следующие утилиты:
Trojan.Encoder.94/Trojan.Encoder.99 - ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe
Trojan.Encoder.71/Trojan.Encoder.96 - ftp://ftp.drweb.com/pub/drweb/tools/te71decrypt.exe
Trojan.Encoder.91 - ftp://ftp.drweb.com/pub/drweb/tools/te91decrypt.exe
Trojan.Encoder.102 - ftp://ftp.drweb.com/pub/drweb/tools/te102decrypt.exe
Trojan.Encoder.68 - для получения пароля воспользуйтесь ссылкой: http://www.freedrweb .
com/aid_admin/decode+encoder. В поле необходимо ввести ID, указанный в файлах Readme.
txt, которые создаются в папках с зашифрованными файлами.
Всегда используйте наиболее новые версии утилит дешифровки, скачивая их с нашего сайта.
Например, актуальной версией сейчас являются 1.3.9 для 94-й утилиты и 1.4.15 для 71-й.
Шаг 3. Скачав соответствующую утилиту, можно приступать к расшифровке файлов. Ниже
приведен алгоритм работы со всеми упомянутыми утилитами:
Te94decrypt.exe. Для дешифровки файлов от Trojan.Cncoder94/99 сперва необходимо
подобрать подходящий ключ расшифровки. Для подбора ключа необходимо сделать
следующее:
1. Скопируйте дешифровщик te94decrypt.exe в корневую папку диска C: и запустите его
через меню Пуск -> Выполнить. В строке запуска введите без кавычек: "C:\te94decrypt.exe
любой_файл". Утилита автоматически расшифрует файл по всем возможным вариантам
декодирования.
2. Будет создано несколько (иногда более 10) копий расшифрованного файла, название
каждой из которых будет оканчиваться набором символов "-kN", где N - некоторое число.
Например, один из вариантов расшифрованного файла может называться archive.rar-k201.
Число 201 - один из вариантов ключа.
3. Откройте поочередно все расшифрованные файлы и найдите тот, который расшифрован
правильно. Обратите внимания, какой ключ соответствует верному декодированию.
4. Запустите утилиту дешифровки Пуск, вместо имени файла указав подобранный ключ
(например: C:\te94decrypt.exe -k 201).
Te91decrypt.exe. Для дешифровки всех файлов достаточно запустить утилиту двойным
щелчком мыши и в открывшемся окне нажать Продолжить.
Te102decrypt.exe. Для дешифровки всех файлов достаточно запустить утилиту двойным
щелчком мыши и в открывшемся окне нажать Продолжить.
Te71decrypt.exe. Работа с этой утилитой разнится в зависимости от модификации вируса,
зашифровавшего файлы:
Trojan.Encoder.71. Для расшифровки файлов запустите утилиту двойным щелчком мыши
и нажмите Продолжить.
Trojan.Encoder.96. Скопируйте дешифровщик te71decrypt.exe в корень диска C: и запустите
его через меню Пуск -> Выполнить. В строке запуска введите без кавычек: "C:\te71decrypt.exe
-k ID", где ID - цифры, указанные на измененных вирусом обоях рабочего стола (в нашем
примере 197).
Шаг 4. Проверьте расшифрованные файлы в нескольких папках. Если все в порядке, значит,
декодирование выполнено успешно, и можно приступать к последнему этапу - уничтожению
файла троянца.
Для этого можно использовать либо антивирус (предварительно обновив базы), либо утилиту
Dr.Web CureIt!.
Примечание. До того как файлы расшифрованы, в системе нельзя производить никаких
действий! В их число входят:
Проверка и лечение компьютера с помощью антивируса или утилиты Dr.Web CureIt! (или
аналогичной).
Переустановка Windows.
Перемещение или удаление любых (в том числе не зашифрованных) файлов на компью-
тере.
Если на компьютере (в корне диска C:\ или папке профиля пользователя) появились файлы
с названиями crypted, pass или другими подобными - их ни в коем случае нельзя пере-
мещать или удалять!
Очистка истории браузера.
Примечание. Проверять, правильно расшифрованы файлы или нет, проще всего с помощью
архивов. Для этого достаточно открыть любой декодированный архив и провести
Проверку целостности или Тест архива (зависит от используемого архиватора).
|
