Contacts
le principal

Décryptage de Trojan Encoder 293. Dr.Web est une bibliothèque d'utilitaires libres. Comme l'infection se produit

Franchement, je ne m'attendais pas à faire face, peut-être, une des dernières modifications de ce virus. Pas si longtemps, je suis un peu à ce sujet sur mon site - il est temps de dire plus :)

Comme je l'ai dit, Trojan.encoder est un programme de Troie qui crypte les fichiers utilisateur. Les variétés d'horreur Sygo sont de plus en plus et toutes d'entre eux, selon des calculs exemplaires, environ 8, à savoir: Trojan.encoder.19, Trojan.encoder.20, Trojan.encoder.21, Trojan.encoder.33, Troie.encoder - 43, 44 et 45 et le dernier encore, comme je l'ai compris, pas numéroté. L'auteur du virus est un certain "correcteur".

Quelques informations sur les versions (les informations sont parties du site et partiellement du site):

Trojan.encoder.19 - Infection du système, le Troie quitte le fichier texte Crypted.txt avec l'obligation de payer 10 $ par programme du décodeur.

Un autre type de trojan.encoder.19 Bypass Tous les médias non coordonnés et chiffrent des fichiers avec des extensions de la liste suivante:
.jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .asf, .doc, .docx, .xls, .xlsx, .pptx, .pptx, .rar , .zip, .db, .mdb, .dbf, .dbx, .h, .pas, .pas, an .cer, .p12, an .pfx, .kwm, .pwm, .sol,. Jbc, .txt, .pdf.

Trojan.encoder.20 - Une nouvelle version du programme Trojan-Extorseur, dans laquelle le mécanisme de cryptage et de la génération de clé est modifié par rapport à Trojan.encoder.19.

Trojan.encoder.21 - Une nouvelle modification du Troie de Troie dans le fichier Crypted.txt qui nécessite de traduire de l'argent (89 $) uniquement avec un système de paiement spécifié spécifié par l'auteur de virus et ne pas utiliser de tels systèmes tels que PayPal et Cash. Pour distribuer Trojan.encoder.21 utilise des sites appelés distributeurs actifs des chevaux de Troie. Les anciennes modifications utilisaient des liens jetables ou des liens avec peu de temps. Cette caractéristique de Trojan.encoder.21 peut augmenter considérablement le rythme de sa distribution.

Trojan.encoder.33 crypte les données utilisateur, mais il utilise de nouveaux mécanismes. Les dangers sont exposés à * .txt, *. JPG, *. JPEG, *. DOC, *. DOCX, *. XLS, quel TROJAN porte les dossiers:
C: \\ Documents et paramètres \\ Paramètres locaux \\ Données d'application \\ CDD
C: \\ Documents et paramètres \\ Paramètres locaux \\ Données d'application \\ FLR
Dans le même temps, les fichiers d'origine sont remplacés par le message "FileError_22001".

Contrairement aux modifications précédentes, Trojan.encoder.33 ne retire aucun message exigeant de payer différentes sommes d'argent. Dans le même temps, la fonction de cryptage utilisateur est effectuée par ce Troie uniquement s'il parvient à contacter un serveur externe.

Ces derniers diffèrent des nouveaux documents de cryptage clés précédents, ainsi que des nouvelles données de contact d'attaquant. Le Dr Web spécialistes a rapidement créé des utilitaires qui vous permettent de déchiffrer des fichiers bloqués par les nouvelles modifications de Troie.EnCoder. Mais un de plus, la modification la plus «fraîche» de Trojan.encoder est particulièrement intéressante. Cette version du programme Trojan ajoute un fichier d'extension crypté.Drweb. En raison de la contrepartie réussie de Trojan.Encoder par l'antivirus de Dr.Web, l'auteur, apparemment, a apparemment créé le désir de "tôt" à l'aide de la mention de notre marque dans le titre de fichiers cryptés.

En outre, à la disposition des spécialistes du Dr. Web, une référence à l'un des bâtiments des modifications actuelles de l'auteur Trojan.encoder. Fait intéressant, le propriétaire de cette ressource essaie de s'associer au «Dr. Web», à l'aide des images d'une araignée et d'un médecin, tandis que la société n'a rien à voir avec ces sites. De toute évidence, cette conception est utilisée pour confondre les utilisateurs inexpérimentés et compromettre la société "Doctor Web".

L'attaquant essaie de comparaître devant les victimes du côté positif - en tant que personne qui aide à restaurer les documents d'utilisateur. Sur son site, il propose de visualiser une vidéo, qui démontre le travail de l'utilitaire de déchiffrement du document, pour lequel l'argent est extrudé.

Selon les informations disponibles, une personne est engagée pour extorquer de l'argent après le cryptage des fichiers.

Les analystes de la société "Doctor Web" ont mis au point un utilitaire de déchiffrement et offrent tous les utilisateurs gratuitement pour restaurer leurs fichiers. Pour la commodité des utilisateurs, la nouvelle version de l'utilitaire est équipée d'un module d'interface graphique et s'appelle Trojan.encoder Decrypt.

Aujourd'hui, j'ai rencontré une autre (il est possible que la version la plus nouvelle) de cette saleté, qui ne soit pas suffisante pour que tous les NAFIG aient été cryptés - il n'a pas non plus de fichier crypté.txt nécessaire pour le programme de déchiffrement de DR .Web afin de reproduire des fichiers. De plus, ceci est (ou non ceci et une autre) chose complètement bloquée l'accès à AVZ et ne donne aucun moyen de l'exécuter sur l'ordinateur. Il est impossible de décompresser l'archive téléchargée avec ni versez un dossier direct sur l'ordinateur, repose plus courte sur ses jambes et ses mains, coupez la base AVZ -La la base qui vivez dans le dossier de base et que vous avez une extension .avz. Le truc avec le renommage de l'expansion ou du lancement à distance n'est pas également arrivé. Je devais tourner. Après avoir allumé l'ordinateur du logiciel + et nettoyez-la soigneusement, sans redémarrage de l'ordinateur (ceci est important), ainsi que après la discordation manuelle des processus de gauche, les éléments de l'autoloading, les modules de la Espace du noyau et d'autres horreurs de la vie d'Avz, ils ont réussi à courir. Une analyse complète du système à l'autre de l'outil a révélé une tucca globale des problèmes, apporté un certain nombre de virus (codeur lui-même a été nettoyé par DROWE "OHM), mais .. Les fichiers déchiffrés avec un programme spécial ne sortent pas du fait du manque de Crypted.txt ou tout autre proche de celui-ci. Et une autre solution que je ne sais pas encore.

Par conséquent, tout le monde infecté, je vous recommande vivement d'utiliser Dr.Web Cureit + Spybot pour commencer à utiliser le paquet, puis contactez le Dr.Web pour obtenir de l'aide dans le déchiffrement des fichiers. Promis d'aider et de libérer complètement.

Où l'utilisateur a ramassé ce virus i, malheureusement, je ne sais pas.

Merci de votre attention et gardez votre ordinateur en sécurité. C'est important.

Bonjour à tous! Aujourd'hui, je veux illuminer un problème associé à un programme malveillant cryptage de fichiers sur un ordinateur. Il y a un tel problème après quelles demandes comme "aide! Les fichiers cryptés du virus ", la même question reçoit de nombreux maîtres informatiques, qui enlèvent parfois de l'aide, mais à la fin, utilisez ce qui est décrit ci-dessous. Et ce qui est évident si le virus crypté les fichiers sur l'ordinateur ?! Lisez l'article à la fin, à écrire, de calmer et de commencer à jouer. Va!

Les chiffreurs sont des variétés de la famille de codeurs de Troie (il est donc classé par Dr. Web). Le programme lui-même est souvent capturé par antivirus après un certain temps s'il l'a raté. Mais les conséquences de leur travail déprimant. Et si vous êtes devenu victime de ce genre de méchanceté? Traitons avec. Pour commencer, il est nécessaire de savoir à peu près à quoi l'ennemi est arrangé pour arrêter l'expédition avec des questions stupides de tout le monde et tout dans l'espoir que le chaman avec un tambourin apparaîtra et décidera du moment de votre problème. Ainsi, le virus utilise des clés asymétriques, autant que je sache, sinon il y aurait tant de problèmes avec lui. Un tel système utilise deux clés, dont l'une est cryptée, l'autre déchiffre. De plus, la première est calculée à partir du second (mais pas vice versa). Essayons de l'imaginer clairement et ce qu'on appelle vos doigts. Considérons une paire de dessins qui démontrent clairement le processus de cryptage et le décryptage.

Ne participons pas à des détails sur la manière dont la clé ouverte est formée. Ces deux images démontrent un processus de cryptage visuel, puis décryptage, c'est comment fermer la porte, puis l'ouvrir. Quel est vraiment un problème avec un crypter viral? Le problème est que vous n'avez aucune clé du tout. Clés à l'attaquant. Et des algorithmes de cryptage qui utilisent cette technologie sont faits très rusés. Vous pouvez en quelque sorte obtenir la clé publique, étudier le fichier, mais cela n'a pas de sens, car vous avez besoin d'une clé secrète. Mais avec lui attrape. Même apprendre la clé ouverte, le secret pour devenir presque impossible. Il est clair que dans les films et les livres, ainsi que les histoires d'amis et de connaissances, il y a quelques hackers super-tiers qui déchiffreront tout avec un Maizinz au-dessus du clavier, pirater tout ce qui est dans le front et dans le monde réel tout est pas si simple. Je dirai que dans le front, cette tâche n'est pas de résoudre et du point.

Et maintenant sur quoi faire si vous avez pris cette nezsitude. Vous n'avez pas beaucoup d'options. Le plus banal de contacter l'auteur par courrier électronique, qu'il vous fournira de nouveau fond d'écran pour le bureau et écrit également au nom de chaque fichier gâté. Soyez prudent, sinon vous n'obtiendrez aucun fichier d'argent. Option Deuxièmement, les entreprises antivirus, en particulier le Dr Web. Contactez cette prise en charge à l'adresse https://support.drweb.ru/new/free_unlocker/for_decode/?lng\u003dru. Venir sur les articles qui sont requis et Waitables. Vrai il y en a un mais! Vous devez utiliser l'antivirus sous licence de Dr. Web si vous ne l'avez pas, vous devrez acheter une licence. En cas de succès, votre demande ira au support technique de la société, puis attendez-vous à une réponse. Veuillez porter une attention particulière que cette méthode ne donne pas à 100% de garanties pour décrire complètement tous les fichiers, il est dû au fait qu'ils ne sont pas toutes des clés et des algorithmes en stock. D'autres entreprises antivirus sont engagées dans un déchiffrement, dans de telles conditions. La troisième option consiste à contacter les agences de la force publique. Au fait, si vous créez une demande au Dr Web Web, même ils vous en parleront. La variante du troisième peut être prolongée et infructueuse (toutefois, comme les deux premières), mais en cas de succès, l'attaquant sera puni et il nuira à moins que les gens et que la clé soit transférée aux entreprises antivirus. Il y a aussi la quatrième option - vous essaierez d'essayer de trouver un miracle du maître, qui a étendu une manière en quelque sorte une voie très secrète. Forward gars! Mais pensez-y! Si les entreprises antivirus ne donnent pas de garanties de 100% et vous recommandent de contacter la police, puis de la recherche d'autre? Ne perdez pas votre temps et votre argent, soyez réaliste.

Résumé. Malheureusement, de nombreuses personnes sont offensées par des maîtres qui les envoient à la police ou à une entreprise antivirus, mendiant de les aider, mais nos utilisateurs coûteux, comprennent, les maîtres ne sont pas omnipot, et vous avez ici une excellente connaissance de la cryptographie et ils sont peu susceptibles d'aider. Par conséquent, utilisez les trois méthodes ci-dessus, mais avec le premier gentulter (extrême), il est préférable de contacter les organes et, en parallèle, essayez de sauvegarder au moins quelque chose à l'aide de spécialistes de la société antivirus.
Oui, en passant, l'appel à la police aidera les autres victimes et si tout le monde essaie de le faire, l'infection de cela deviendra plusieurs fois moins, alors pensez non seulement à vous-même, mais aussi aux autres. Et toujours être préparé pour ce qu'il est possible d'être auteur du virus ne résolvez plus votre problème! Par conséquent, apportez une sortie importante pour vous-même et des fichiers précieux de RAM dans plusieurs instances sur différents appareils ou utilisez des services cloud.

Windows Trojan.encoder.19 Deciner - Utilité de déchiffrement de la société "Doctor Web" pour le programme Troie Trojan.encoder.19. Infection du système, Trojan laisse un fichier texte crypté.txt exigeant 10 $ par programme de rabat:

Vos fichiers sont cryptés! Decifranger coûte 10 $! En savoir plus: http: //decryptor.****** E-mail: [Email protégé]****** ICQ: ******* S / N BF_3-PUCHT $ + BM5 Ne pas supprimer et ne pas changer ce fichier !!!

Mode d'emploi

  1. Exécutez le déchiffrement du fichier sur l'ensemble du disque C:. Pour ce faire, exécutez le programme avec les paramètres de ligne de commande suivants:
    Par example:
  2. Les fichiers sur le disque C: seront déchiffrés. À la fin de l'utilitaire, l'utilitaire à côté des fichiers cryptés. Crypt doit apparaître des fichiers déchiffrés sans achèvement. Crypte. Aucun fichier crypté n'est nécessaire, car La possibilité d'un décryptage incorrect n'est pas exclu.

ATTENTION! Nous recommandons catégoriquement nous vous recommandons de payer des raisons de rédemption. De plus, nous vous plons vivement aux utilisateurs de ne pas essayer de réinstaller le système et de le rétablir des sauvegardes, mais de demander de l'aide dans le support technique, ou à la section spéciale du Forum officiel du Doctor Web.

Si vous n'avez pas réussi à déchiffrer certains fichiers, veuillez envoyer à l'adresse [Email protégé] Le fichier crypté.txt de la racine du disque C: et plusieurs échantillons de fichiers cryptés.

Les spécialistes de la société de lutte anti-virus du Dr. Web ont mis au point une méthode de déchiffrement des fichiers inaccessibles à la suite d'un codeur de Troie dangereux Trojan.encoder.2843 connu des utilisateurs sous le nom "Vault".

Cette version du crypter, obtenue par la classification du Dr.Web Trojan.encoder.2843 , s'applique activement aux intrus à l'aide d'un mailing de masse. En tant que pièce jointe, un petit fichier contenant un script JavaScript est utilisé comme pièce jointe. Ce fichier extrait une application qui effectue les actions restantes nécessaires pour assurer le travail du codeur. Cette version de Trojan-Crypter est distribuée du 2 novembre 2015.

Le principe de fonctionnement de ce programme malveillant est également très curieux. Une bibliothèque dynamique cryptée (.dll) est enregistrée dans le registre de registre Windows et le Troie a intégré un petit code qui lit le fichier à partir du registre de la mémoire, des déchiffriers et des contrôles de transfert.

Liste des fichiers cryptés Trojan.encoder.2843 Les magasins dans le registre système et pour chacun d'entre eux utilisent une clé unique composée de lettres latines en capital. Le cryptage de fichier est effectué à l'aide d'algorithmes de Blowfish-ECB, la clé de session est cryptée à l'aide de RSA à l'aide de l'interface Cryptoapi. Chaque fichier crypté est attribué une extension .Vault .Vault.

Les spécialistes de la société "Doctor Web" ont développé une technique spéciale, dans de nombreux cas, permettant aux dossiers endommagés par ce Troie. Si vous êtes devenu victime d'un programme malveillant Trojan.encoder.2843 Profitez des recommandations suivantes:

  • se référer à la déclaration correspondante dans la police;
  • en aucun cas tenter de réinstaller le système d'exploitation, "optimiser" ou "nettoyer" en utilisant des utilitaires;
  • ne supprimez aucun fichier sur votre ordinateur;
  • n'essayez pas de restaurer vous-même de restaurer des fichiers cryptés.
  • contactez le support technique du Dr. Web (ce service est gratuit pour les licences commerciales Dr.Web);
  • au ticket joindre n'importe quel fichier crypté par le Trojan;
  • attendre le spécialiste du support technique; En raison du grand nombre de demandes, cela peut prendre un certain temps.

Nous vous rappelons que les services de décodage des fichiers ne sont que les propriétaires de licences commerciales pour les produits anti-virus de Dr.Web. Doctor Web ne donne pas une garantie complète de déchiffrement de tous les fichiers endommagés à la suite d'un codeur de fichier, mais nos experts mettront tout en œuvre pour enregistrer des informations cryptées.

Si le système est infecté par un programme malveillant de familles de Troie-Ransom.win32.Rannoh, Trojan-Ransom.win32.Autoit, Trojan-Ransom.win32.fury, Trojan-Ransom.win32.Crybola, Trojan-Ransom.win32. Cryakl ou Trojan-Ransom. Win32.cryptxxx, tous les fichiers de l'ordinateur seront cryptés comme suit:

  • Une fois infecté par Trojan-Ransom.win32.Rannoh, les noms et les extensions changeront par le modèle verrouillé<оригинальное_имя>.<4 произвольных буквы>.
  • Une fois infecté par Trojan-Ransom.win32.Cryakl, une étiquette est ajoutée à la fin du contenu des fichiers.
  • Lorsque infecté par Trojan-Ransom.win32.Autoit, l'extension varie selon le modèle<оригинальное_имя>@<почтовый_домен>_.<набор_символов>.
    Par example, [Email protégé]_RZWDTDC.
  • Lorsque infecté par Trojan-Ransom.win32.cryptxxxx, l'extension varie dans les modèles<оригинальное_имя>.crypte,<оригинальное_имя>.Crypz I.<оригинальное_имя>.cryp1.

L'utilitaire Rannohdecryptor est conçu pour déchiffrer des fichiers après infection Trojan-Ransom.win32.Polyglot, Troie-Ransom.win32.Rannoh, Trojan-Ransom.win32.Autoit, Trojan-Ransom.win32.fury, Trojan-Ransom.win32.Crybola, Trojan Ransom.win32.Cryakl ou Trojan-Ransom.win32.Cryptxxx Versions 1, 2 et 3.

Comment guérir le système

Guérir un système infecté:

  1. Téléchargez le fichier RannohDecryptor.zip.
  2. Exécutez le fichier RannohDecryptor.exe sur une machine infectée.
  3. Dans la fenêtre principale, cliquez sur Chèque de départ.
  1. Spécifiez le chemin du fichier crypté et non crypté.
    Si le fichier est crypté par TROJAN-RANSOM.WIN32.CRYPTXXX, spécifiez les fichiers les plus importants. Le décodage ne sera disponible que pour des fichiers égaux ou plus petits.
  2. Attendez les fichiers cryptés de recherche et de déchiffrement.
  3. Redémarrez l'ordinateur si nécessaire.
  4. après verrouillé<оригинальное_имя>.<4 произвольных буквы>Pour supprimer des copies des fichiers cryptés d'une vue de décryptage réussie, sélectionnez.

Si le fichier a été crypté par Trojan-Ransom.win32.cryakl, l'utilitaire enregistrera le fichier dans l'ancien lieu avec l'extension. Décryptedklr. Original_exing. Si vous avez choisi Supprimer des fichiers cryptés après un déchiffrement réussiLe fichier de bacs sera enregistré par un utilitaire avec le nom d'origine.

  1. Par défaut, l'utilitaire affiche un rapport à la racine du disque système (le disque sur lequel est installé le système d'exploitation).

    Le nom du rapport comporte le formulaire suivant: Noms de nom. Device_Data_Log.txt

    Par exemple, C: \\ Rannohdecryptor.1.0.0_02.05.2012_15.31.43_log.txt

Dans le système infecté par TROJAN-RANSOM.WIN32.CRYPTXXX, l'utilitaire analyse le nombre limité de formats de fichiers. Lorsqu'un utilisateur est sélectionné par le fichier CryptXXXX V2, la récupération de la clé peut prendre beaucoup de temps. Dans ce cas, l'utilitaire montre un avertissement.



Avez-vous aimé l'article? Partagez-le
Articles recommandés sur le sujet
Causes de pourquoi Flash Player ne fonctionne pas et dépannageCauses de pourquoi Flash Player ne fonctionne pas et dépannage
L'ordinateur portable lui-même s'éteint, que faire?L'ordinateur portable lui-même s'éteint, que faire?
HP Pavilion DV6: Caractéristiques et ReviewsHP Pavilion DV6: Caractéristiques et Reviews
Les visiteurs discutent actuellement
Format Représentation des numéros de points flottants La manière dont les nombres négatifs sont stockés dans la mémoire de l'ordinateurFormat Représentation des numéros de points flottants La manière dont les nombres négatifs sont stockés dans la mémoire de l'ordinateur Asus.
Des frites et n'allument pas quoi faire?Des frites et n'allument pas quoi faire? D-link
Pourquoi ne fonctionne pas la souris sur un ordinateur portable ou une souris?Pourquoi ne fonctionne pas la souris sur un ordinateur portable ou une souris? Android
Comment augmenter ou diminuer l'échelle de la page (FONT) dans les camarades de classe?Comment augmenter ou diminuer l'échelle de la page (FONT) dans les camarades de classe? Problèmes