Contactos
el principal

Descifrado del codificador Trojan 293. El Dr.Web es una biblioteca de servicios públicos gratuitos. Como se produce la infección.

Francamente, no esperaba que nos enfrentara nada, tal vez, una de las últimas modificaciones de este virus. No hace mucho tiempo, soy un poco al respecto en mi sitio, es hora de decir más :)

Como dije, Trojan.Encoder es un programa Trojan que encripta los archivos de usuario. Las variedades de terror de Sygo son cada vez más y todas, según los cálculos ejemplares, alrededor de 8, a saber: Trojan.Encoder.19, Trojan.Encoder.20, Trojan.Encoder.21, Trojan.Encoder.33, Trojan.Encoder - 43, 44 y 45 y el último quieto, como entendí, no numerado. El autor del virus es un cierto "corrector".

Alguna información sobre versiones (la información se toma parte del sitio y en parte del sitio):

TROJAN.ENCODER.19 - Infectando el sistema, el Troján abandona el archivo de texto criptted.txt con el requisito de pagar $ 10 por programa del decodificador.

Otro tipo de TROJAN.ENCODER.19 omita a todos los medios no coordinados y cifra archivos con extensiones de la siguiente lista:
.jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .asf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar , .zip, .db, .mdb, .dbf, .dbx, .h, .c, .pas, .php, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .sol ,. JBC, .txt, .pdf.

TROJAN.ENCODER.20 - Una nueva versión del programa de Extorsionador de Troya, en el que se cambia el mecanismo de cifrado y generación clave en comparación con Trojan.Encoder.19.

TROJAN.ENCODER.21: una nueva modificación del Troján en el archivo Crypted.txt que requiere traducir dinero ($ 89) solo con un sistema de pago específico especificado por el autor del virus y no usar tales sistemas como PayPal y efectivo. Para distribuir TROJAN.ENCODER.21 usa sitios que se conocen como distribuidores activos de los troyanos. Las modificaciones anteriores utilizan enlaces desechables o enlaces con poco tiempo. Esta característica de Trojan.Enoder.21 puede aumentar dramáticamente el ritmo de su distribución.

Trojan.Encoder.33 Encripta los datos del usuario, pero utiliza nuevos mecanismos. Los peligros están expuestos a * .txt, *. JPG, *. JPEG, *. DOC, *. DOCX, *. XLS, que Troya lleva a las carpetas:
C: \\ Documentos y configuraciones \\ Configuración local \\ Datos de solicitud \\ CDD
C: \\ Documentos y configuraciones \\ Configuración local \\ Datos de solicitud \\ flr
Al mismo tiempo, los archivos originales se reemplazan con el mensaje "FileError_222001".

A diferencia de las modificaciones anteriores, Trojan.Encoder.33 no retira ningún mensaje que exige pagar diferentes cantidades de dinero. Al mismo tiempo, la función de cifrado del usuario es realizada por este troyano solo si logra ponerse en contacto con un servidor externo.

Los últimos difieren de los nuevos documentos de cifrado clave anteriores, así como los nuevos datos de contacto del atacante. El Dr. Web Specialists creó rápidamente las utilidades que le permiten descifrar archivos que han sido bloqueados por nuevas modificaciones de Trojan.Encoder. Pero uno más, la modificación más "fresca" de Trojan.Encoder es especialmente interesante. Esta versión del programa Trojan agrega un archivo de extensión cifrado.DRWEB. Debido a la exitosa contraaccionada de Trojan.Encoder por el antivirus del Dr.Web, el autor, aparentemente, originó el deseo de "temprano" con la ayuda de la mención de nuestra marca en el título de archivos cifrados.

Además, a disposición del Dr. Especialistas en Web, una referencia a uno de los edificios de las modificaciones actuales del autor Trojan.Encoder. Curiosamente, el propietario de este recurso está tratando de asociarse con el "Dr. Web", utilizando las imágenes de una araña y un médico, mientras que la compañía no tiene nada que ver con tales sitios. Obviamente, dicho diseño se utiliza para confundir a los usuarios inexpertos y comprometer la compañía "Doctor Web".

El atacante está intentando en todas las formas de aparecer ante las víctimas del lado positivo, como una persona que ayuda a restablecer los documentos del usuario. En su sitio, le ofrece para ver un video, que demuestra el trabajo de la utilidad de descifrado de documentos, por lo que se extruye el dinero.

De acuerdo con la información disponible, una persona está involucrada en extorsionar dinero después del cifrado de archivos.

Los analistas de la compañía "Doctor Web" han desarrollado una utilidad de descifrado y ofrecen a todos los usuarios de forma gratuita para restaurar sus archivos. Para la conveniencia de los usuarios, la nueva versión de la utilidad está equipada con un módulo de interfaz gráfica y se llama TroJan.Encoder descifrado.

Hoy me encontré con una otra (es posible que la más nueva) versión de este DIRETARIO, que no sea suficiente para que todos los NAFIG estuvieran encriptados, tampoco tiene un archivo Crypted.txt que sea necesario para el programa de descifrado de DR .Web para reproducir archivos. Además, esto es (o no esto, y otras cosas) se bloquean completamente el acceso a AVZ y no da ninguna manera de ejecutarlo en la computadora. Es imposible desempacar el archivo descargado con ni verter una carpeta directa a la computadora, más corta descansa en sus piernas y manos, cortando la base AVZ -La base que vive en la carpeta base y tenga extensión .AVZ. El truco con el cambio de nombre de expansión o lanzamiento remoto tampoco ocurrió. Tuve que girar. Después de encender la computadora del paquete de software + y limpiarlo a fondo, sin un solo reinicio de la computadora (esto es importante), así como después de la discreposición manual de los procesos izquierdos, los elementos de la carga automática, los módulos de la El espacio del kernel y otros horrores de la vida avz, lograron correr. El análisis integral del sistema a través de la herramienta reveló una tucca completa de los problemas, trajo una serie de virus (el codificador en sí fue limpiado por Drweb "Ohm), pero ... descifrar archivos con un programa especial no sale debido a la falta de Cripted.txt o cualquier otro cerca de él. Y otra solución que no sé todavía.

Por lo tanto, todos infectados, le recomiendo encarecidamente que use el Dr.Web CUREEIT + SPYBOT para comenzar a usar el paquete, y luego comuníquese con el Dr.Web para obtener ayuda para descifrar archivos. Prometo de ayudar y completamente gratis.

Donde el usuario recogió este virus i, desafortunadamente, no lo sé.

Gracias por su atención y mantenga su computadora segura. Es importante.

¡Hola a todos! Hoy quiero iluminar un problema asociado con un programa malicioso cifrando archivos en una computadora. ¡Hay un problema así, después de qué solicitudes como "Ayuda! Los archivos encriptados del virus ", la misma pregunta obtiene muchos maestros de la computadora, que a veces incluso se quitan la ayuda, pero al final utiliza lo que se describe a continuación. ¿Y qué es evidente si el virus encriptó los archivos en la computadora? Lea el artículo hasta el final, para ser escrito, calmarse y comenzar a actuar. ¡Ir!

Los cifradores son variedades de la familia del codificador Trojan (por lo que está clasificado por el Dr. Web). El círculo del programa a menudo es capturado por antivirus después de un tiempo si la extrañaba. Pero las consecuencias de su trabajo deprimente. ¿Qué pasa si te has vuelto víctima de este tipo de nastiness? Vamos a tratar. Para empezar, es necesario saber aproximadamente cómo se organiza el enemigo para detener el envío con preguntas estúpidas de todos y todo con la esperanza de que aparezca el chamán con una pandereta y decida en el momento en que su problema. Entonces, el virus usa llaves asimétricas, por lo que yo sepa, de lo contrario, habría tantos problemas con él. Tal sistema usa dos claves, una de las cuales está encriptada, las otras descifra. Además, el primero se calcula a partir de la segunda (pero no viceversa). Intentemos imaginarlo con claridad y lo que se llama a tus dedos. Considere un par de dibujos que demuestren claramente el proceso de cifrado y descifrado.

No entremos en detalles sobre cómo se forma la llave abierta. Estas dos imágenes demuestran un proceso de cifrado visual, y luego descifrar, es cómo cerrar la puerta y luego abrirla. ¿Cuál es realmente un problema con un reglipo de virus? El problema es que no tienes ninguna clave. Llaves en el atacante. Y los algoritmos de cifrado que usan esta tecnología se hacen muy astutos. De alguna manera, puede obtener la clave pública, estudiar el archivo, pero no tiene sentido, porque necesita una clave secreta. Pero con él enganche. Incluso aprendiendo la llave abierta, el secreto para ponerse casi imposible. Está claro que en las películas y los libros, así como las historias de amigos y conocidos, hay algunos hackers super-duper que descifrarán todo con un maizinz sobre el teclado, hackear todo en la frente, y en el mundo real todo es no es tan simple. Diré que en la frente esta tarea no es resolver y el punto.

Y ahora sobre qué hacer si recogiste esta mala calidad. No tienes muchas opciones. El más banal para contactar al autor por correo electrónico, que amablemente le proporcionará un nuevo fondo de pantalla para el escritorio, y también escribe en nombre de cada archivo enrogado. Tenga cuidado, de lo contrario no obtendrá ningún archivo de dinero. Opción segundo - empresas antivirus, en particular Dr. Web. Póngase en contacto con esos soportes en https://support.drweb.ru/new/free_unlocker/for_decode/?lng\u003dru. Vamos los artículos que se requieren y sean ganas. ¡Es cierto que hay uno, pero! Debe usar el antivirus con licencia desde el Dr. Web si no lo tiene, deberá comprar una licencia. En caso de éxito, su solicitud irá al apoyo técnico de la compañía y luego esperará una respuesta. Preste especial atención a que este método no proporcione 100% garantías para descifrar completamente todos los archivos, se debe al hecho de que no son todas las llaves y algoritmos en stock. Otras compañías antivirus se dedican a descifrar, en tales condiciones. La tercera opción es ponerse en contacto con las agencias policiales. Por cierto, si crea una solicitud al Dr. Web, incluso lo contarán. La variante del tercero puede ser prolongada y sin éxito (sin embargo, como los dos primeros), pero si tiene éxito, el atacante será castigado y dañará menos a las personas, y la clave se transferirá a las compañías antivirus. También está la cuarta opción: intentará sin éxito encontrar un milagro del maestro, que de alguna manera se extendió a una manera súper secreta. ¡Reenvío de chicos! ¡Pero piensa en ello! Si las compañías antivirus no otorgan garantías al 100% y recomiendan ponerse en contacto con la policía, ¿qué más debe buscar? No pierdas tu tiempo y dinero, sé realista.

Resumen. Desafortunadamente, muchas personas están ofendidas por maestros que los envían a la policía o a una compañía antivirus, rogando para ayudarlos, pero nuestros usuarios caros, entienden, los maestros no son Omnipot, y aquí necesita un excelente conocimiento en la criptografía, y ellos es poco probable que ayude. Por lo tanto, use los tres métodos anteriores, pero con el primer gentilógrafo (extremo), es mejor ponerse en contacto con los órganos, y en paralelo intente guardar al menos algo con la ayuda de especialistas de la compañía antivirus.
Sí, por cierto, la apelación a la policía ayudará a otras víctimas y, si todos están tratando de hacerlo, la infección de esto se volverá varias veces menos, así que piense no solo sobre usted, sino también a otras personas. ¡Y todavía estar preparado para lo que es posible además del autor del virus ya no resuelve su problema! Por lo tanto, haga una producción importante para usted y los archivos valiosos de RAM en múltiples instancias en diferentes dispositivos o use los servicios de la nube.

Windows Trojan.Encoder.19 Deciner - Utilidad de descifración de la compañía "Doctor Web" para el programa Trojan Trojan.Encoder.19. Infectando el sistema, Trojan abandona un archivo de texto criptted.txt exigiendo $ 10 por programa de solapa:

¡Tus archivos están encriptados! ¡Decifranger cuesta $ 10! Leer más: http: //decryptor.****** E-mail: [Correo electrónico protegido]****** ICQ: ******* S / N BF_3-PUCHT $ + BM5 ¡No elimine y no cambie este archivo!

Instrucciones de uso

  1. Ejecute el descifrado del archivo en todo C: Disco. Para hacer esto, ejecute el programa con los siguientes parámetros de línea de comandos:
    Por ejemplo:
  2. Archivos al disco C: se descifrarán. Al finalizar la utilidad, la utilidad junto a los archivos encriptados. Crypt debe aparecer archivos descifrados sin completar. Crypt. No se necesitan archivos encriptados, porque No se excluye la posibilidad de descifrado incorrecto.

¡ATENCIÓN! Categóricamente, no recomendamos pagar las razones para la redención. Además, por favor, los usuarios no intentamos reinstalar el sistema y restaurarlo de las copias de seguridad, pero buscar ayuda en el soporte técnico, o a la sección especial del Foro Oficial de la Web de Doctor.

Si no logró descifrar algunos archivos, envíe a la dirección [Correo electrónico protegido] El archivo Crypted.txt de la raíz del disco C: y varias muestras encriptadas archivos.

Los especialistas de la compañía del Dr. Web Anti-Virus han desarrollado un método para descifrar archivos que han sido inaccesibles como resultado de un codificador de troyano peligroso TROJAN.ENCODER.2843 Conocido a los usuarios bajo el nombre "Vault".

Esta versión del cifrado, obtenida por la clasificación del Dr.Web. TROJAN.ENCODER.2843 , se aplica activamente a los intrusos con la ayuda del correo masivo. Como un archivo adjunto, un pequeño archivo que contiene un script JavaScript se usa como un archivo adjunto. Este archivo está extrayendo una aplicación que realiza las acciones restantes necesarias para garantizar el trabajo del codificador. Esta versión del círculo Trojan se distribuye desde el 2 de noviembre de 2015.

El principio de operación de este programa malicioso también es muy curioso. Una biblioteca dinámica cifrada (.dll) se registra en el Registro de Registro de Windows, y el TROJAN incorpora un pequeño código que lee el archivo del Registro de Memoria, los controles de descifra y transferencias.

Lista de archivos encriptados TROJAN.ENCODER.2843 También almacena en el registro del sistema y para cada uno de ellos utiliza una clave única que consiste en letras latinas de capital. El cifrado de archivos se lleva a cabo utilizando algoritmos de BlowFish-BCE, la clave de sesión se cifra utilizando RSA utilizando la interfaz CryptoAPI. Cada archivo cifrado se le asigna la extensión .vault.

Los especialistas de la compañía "Doctor Web" han desarrollado una técnica especial, en muchos casos, lo que permite que los archivos dañados por este Troján. Si te has convertido en una víctima de un programa malicioso. TROJAN.ENCODER.2843 Aproveche las siguientes recomendaciones:

  • referirse a la declaración correspondiente en la Policía;
  • en ningún caso, intento de reinstalar el sistema operativo, "Optimizar" o "Limpiar" usando cualquier Utilidades;
  • no elimine ningún archivo en su computadora;
  • no intente restaurar los archivos cifrados usted mismo;
  • contacto Dr. Soporte técnico web (este servicio es gratuito para las licencias comerciales del Dr.Web);
  • al ticket adjuntar cualquier archivo cifrado por el troyano;
  • esperar al especialista en soporte técnico; Debido a la gran cantidad de solicitudes, puede tomar algún tiempo.

Le recordamos que los servicios para decodificar los archivos son solo los propietarios de licencias comerciales para los productos DR.WEB Anti-Virus. El doctor Web no proporciona una garantía completa de descifrado de todos los archivos dañados como resultado de un codificador de archivos, pero nuestros expertos harán todo lo posible para guardar información cifrada.

Si el sistema está infectado con un programa malicioso de familias de troyan-ransom.win32.rannoh, troyan-ransom.win32.autoit, troyan-ransom.win32.furio, troyan-ransom.win32.crybola, troyan-ransom.win32. Cryakl o Trojan-Ransom. Win32.CryPTXXX, todos los archivos de la computadora se cifrarán de la siguiente manera:

  • Cuando se infecta por Trojan-Ransom.Win32.Rannoh, los nombres y extensiones cambiarán por la plantilla bloqueada<оригинальное_имя>.<4 произвольных буквы>.
  • Cuando se infecta por Trojan-Ransom.Win32.Cryakl, se agrega una etiqueta al final del contenido de los archivos.
  • Cuando está infectado por Trojan-Ransom.Win32.Autoit Extensión varía según la plantilla<оригинальное_имя>@<почтовый_домен>_.<набор_символов>.
    Por ejemplo, [Correo electrónico protegido]_.RZWDTDIC.
  • Cuando está infectado por Trojan-Ransom.Win32.CryPTXXX, la extensión varía en plantillas<оригинальное_имя>.cripta,<оригинальное_имя>.crypz I.<оригинальное_имя>.cryp1.

La utilidad de Rannohdecryptor está diseñada para descifrar archivos después de la infección troyan-ransom.win32.polyglot, troyan-ransom.win32.rannoh, troyan-ransom.win32.autoit, troyan-ransom.win32.furio, troyan-ransom.win32.crybola, TROJAN RANSOM.WIN32.CRYAKL o TROJAN-RANSOM.WIN32.CRYPTXXX Versiones 1, 2 y 3.

Cómo curar el sistema

Para curar un sistema infectado:

  1. Descargue el archivo rannohdecryptor.zip.
  2. Ejecute el archivo rannohdecryptor.exe en una máquina infectada.
  3. En la ventana principal, haga clic en Cheque de inicio.
  1. Especifique la ruta al archivo cifrado y sin cifrado.
    Si el archivo está encriptado por TROJAN-RANSOM.WIN32.CRYPTXXX, especifique los archivos más grandes. La decodificación estará disponible solo para archivos iguales o más pequeños.
  2. Espere los archivos cifrados de búsqueda y descifrado.
  3. Reinicie la computadora si es necesario.
  4. después de bloqueo-<оригинальное_имя>.<4 произвольных буквы>Para eliminar copias de los archivos cifrados de una vista de descifrado exitosa, seleccione.

Si el archivo fue encriptado por TROJAN-RANSOM.WIN32.CRYAKL, la utilidad guardará el archivo en el lugar anterior con la extensión. DecryptedKlr. Original_exing. Si has elegido Eliminar archivos encriptados después de un descifrado exitosoEl archivo de la bandeja será guardado por una utilidad con el nombre original.

  1. De forma predeterminada, la utilidad muestra un informe a la raíz del disco del sistema (el disco en el que se instala OS).

    El nombre del informe tiene el siguiente formulario: NOMBRE NOMBRES. DEVICE_DATA_LOG.TXT

    Por ejemplo, C: \\ rannohdecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

En el sistema infectado por TROJAN-RANSOM.WIN32.CRYPTXXX, la utilidad escanea el número limitado de formatos de archivo. Cuando se selecciona un usuario por el archivo CryptXXX V2, la recuperación de la tecla puede llevar mucho tiempo. En este caso, la utilidad muestra una advertencia.



¿Te gustó el artículo? Compártelo
Artículos recomendados sobre el tema.
Magnetometría en la versión más sencilla El Ferrozond consiste en un núcleo ferromagnético y dos bobinas en élMagnetometría en la versión más sencilla El Ferrozond consiste en un núcleo ferromagnético y dos bobinas en él
Búsqueda de curso de búsqueda de trabajo efectivoBúsqueda de curso de búsqueda de trabajo efectivo
Las principales características y parámetros del fotodiodo.Las principales características y parámetros del fotodiodo.
Los visitantes ahora están discutiendo
Cómo editar PDF (cinco aplicaciones para cambiar archivos PDF) Cómo eliminar páginas individuales de PDFCómo editar PDF (cinco aplicaciones para cambiar archivos PDF) Cómo eliminar páginas individuales de PDF Inalámbrica
¿Por qué la ventana del programa de despedida se desarrolla durante mucho tiempo?¿Por qué la ventana del programa de despedida se desarrolla durante mucho tiempo? iPhone / iPad.
DXF2TXT - Exportación y traducción del texto desde AutoCAD para mostrar un punto de tráfico DWG en TXTDXF2TXT - Exportación y traducción del texto desde AutoCAD para mostrar un punto de tráfico DWG en TXT Problemas
Qué hacer si el cursor del mouse desaparece.Qué hacer si el cursor del mouse desaparece. Configuración