Dešifrovanie z Trojan Encoder 293. Dr.Web je knižnica bezplatných pomôcok. Ako infekcia nastane

Úprimne povedané, nečakal som nič, čo čelí, možno jednej z posledných modifikácií tohto vírusu. Nie je to tak dávno, som o tom trochu o tom na mojom webe - je čas povedať viac :)

Ako som povedal, Trojan.encoder je Trojan Program, ktorý šifruje užívateľské súbory. Synové hororové odrody sú čoraz viac a všetky z nich, podľa príkladných výpočtov, asi 8, a to: trojan.encoder.19, Trojan.encoder.20, Trojan.encoder.21, Trojan.encoder.33, Trojan.encoder - 43, 44 a 45 a posledný, keď som pochopil, nie je očíslovaný. Autorom vírusu je určitá "korektor".

Niektoré informácie o verziách (informácie sa zúčastňujú na stránke a čiastočne z lokality):

Trojan.encoder.19 - Infikovanie systému, Trójsky kôň opustí textový súbor Crypted.txt s požiadavkou zaplatiť 10 dolárov za program dekodéra.

Iný typ Trojan.encoder.19 Bypass všetky nekoordinované médiá a šifruje súbory s rozšírením z nasledujúceho zoznamu:
.jpg, .jpeg, .pd, .CDR, .M2V, .MAX, .SF, .DOC, .DOCX, .XLS, .XLSX, .ppt, .pptx, .rar , .Zip, .db, .mdb, .dbf, .dbx, .h, .c, .PAS, .p12, .pfx, .kwm, .pwm, .sol,. JBC, .txt, .pdf.

Trojan.encoder.20 - Nová verzia programu Trojan-Extriorter, v ktorom sa mechanizmus šifrovania a generácie kľúča zmení v porovnaní s Trojan.encoder.19.

Trojan.encoder.21 - Nová modifikácia Trojanu v Crypted.txt Súbor, ktorý vyžaduje preložiť peniaze (89 USD) len s konkrétnym platobným systémom určeným autorom vírusu a nepoužívajú takéto systémy ako paypal a hotovosť. Distribuovať Trojan.encoder.21 používa stránky, ktoré sú známe ako aktívni distribútori trójskych koní. Bývalé modifikácie používajú jednorazové odkazy alebo odkazy s krátkym časom. Táto funkcia Trojan.encoder.21 môže dramaticky zvýšiť tempo jeho distribúcie.

Trojan.encoder.33 šifruje užívateľské údaje, ale používa nové mechanizmy. Nebezpečenstvo sú vystavené * .txt, *. JPG, *. JPEG, *. DOC, *. DOCX, *. XLS, ktorý Trojan nesie do priečinkov:
C: Dokumenty a nastavenia Miestne nastavenia Aplikácie
C: Dokumenty a nastavenia Lokálne nastavenia Aplikačné údaje FLR
Zároveň sa pôvodné súbory nahrádzajú správou "FileError_22001".

Na rozdiel od predchádzajúcich modifikácií Trojan.encoder.33 nevyberá žiadne správy, ktoré potrebujú na zaplatenie rôznych peňazí. Súčasne, funkcia šifrovania používateľa vykonáva tento trójsky kôň len vtedy, ak sa podarí kontaktovať externý server.

Tieto sa líšia od predchádzajúcich nových kľúčových šifrovacích dokumentov, ako aj nových kontaktných údajov útočníka. Dr Web Specialists okamžite vytvoril pomôcky, ktoré vám umožnia dešifrovať súbory, ktoré boli zablokované novými modifikáciami Trojan.encoder. Ale ešte jedna, najviac "čerstvá" modifikácia Trojan.encoder je obzvlášť zaujímavá. Táto verzia programu Trojan pridáva šifrovaný rozšírený súbor.Drweb. Vzhľadom k úspešnému protikladu Trojan.encoderom antivírusom Dr.Web, autor, zrejme vznikla túžbe "skoro" s pomocou zmienky o našej značke v názve šifrovaných súborov.

Okrem toho, k dispozícii Dr Web Specialistov, odkaz na jednu z budov aktuálnych úprav autorov Trojan.encoder. Zaujímavé je, že majiteľ tohto zdroja sa snaží spojiť s "Dr. Web", pomocou obrázkov pavúka a lekára, zatiaľ čo spoločnosť nemá nič spoločné s takýmito miestami. Je zrejmé, že takýto dizajn sa používa na zmiasť neskúsených užívateľov a ohroziť spoločnosť "Doctor Web".

Útočník sa snaží v každom spôsobe, ako sa objaviť pred obeťami pozitívnej strany - ako osoba, ktorá pomáha obnoviť užívateľské dokumenty. Na jeho stránke ponúka na zobrazenie videa, ktorý demonštruje prácu dokumentu dešifrovanie utility, pre ktoré sú peniaze extrudované.

Podľa dostupných informácií sa jedna osoba zaoberá vydieraním peňazí po šifrovaní súborov.

Analytici spoločnosti "Doctor Web" vyvinuli dešifrovaciu pomôcku a ponúkli všetkým užívateľom bezplatne obnoviť svoje súbory. Pre pohodlie používateľov je nová verzia nástroja vybavená grafickým rozhraním modulom a nazýva sa Trojan.encoder dešifrovaný.

Dnes som sa stretol s niektorými ďalšími (je to možné, že najnovšia jedna) verzia tejto špiny, ktorá nestačí, že všetky NAFIG boli šifrované - to tiež nemá crypted.txt súbor, ktorý je nevyhnutný pre dešifrovací program od DR .Web, aby sa reprodukovali súbory späť. Okrem toho je to (alebo nie toto, a nejaká iná) vec úplne zablokovaná prístup k AVZ a nedáva žiadny spôsob, ako ho spustiť na počítači. Je nemožné rozbaliť stiahnutý archív s ani nalejte priamym priečinkom do počítača, kratšie spočíva na nohách a rukách, odrezanie AVZ-Base, ktorá žije v základnom priečinku a majú rozšírenie .avz. Trik s premenovaním alebo diaľkovým spustením sa tiež nevyskytol. Musel som točiť. Po zapnutí počítača softvérového balíka + a dôkladne ju vyčistite, bez jedného reštartu počítača (je to dôležité), ako aj po manuálnej diskrepócii ľavého procesu, prvky automatického zapnutia, modulov Jadro Space a ďalšie hrôzy života AVZ, podarilo sa mu spustiť. Komplexná analýza systému naprieč nástrojom odhalila celú tuccu problémov, priniesla niekoľko vírusov (scoder sám bol vyčistený Drweb "Ohm), ale .. Dešifrované súbory so špeciálnym programom nevychádza z dôvodu nedostatku Crypted.txt alebo iné blízko. A ďalšie riešenie, ktoré ešte neviem.

Preto všetci infikovaní, dôrazne odporúčam, aby ste použili Dr.Web Cureit + Spybot, aby ste začali používať zväzok a potom sa obráťte na Dr.Web pre pomoc pri dešifringových súboroch. Sľub pomáha a úplne zadarmo.

Tam, kde si užívateľ zdvihol tento vírus, bohužiaľ, neviem.

Ďakujeme za vašu pozornosť a udržujte svoj počítač v bezpečí. To je dôležité.

Ahojte všetci! Dnes chcem osvetliť jeden problém spojený so škodlivým programom šifrovaním súborov v počítači. Tam je taký problém, po ktorom žiadosti ako "Pomoc! Virus šifrované súbory ", rovnaká otázka dostane mnoho počítačových majstrov, ktoré niekedy dokonca odobrajú pomoc, ale v konečnom použití, čo je popísané nižšie. A čo je zrejmé, ak vírus šifroval súbory na počítači?! Prečítajte si článok na koniec, ktorý sa má napísať, upokojte sa a začnite pôsobiť. Choď!

Šifróny sú odrody rodiny snímača Trojan (takže je klasifikovaný Dr. Webom). Samotný program so šifrovaním je často chytený antivírusom po nejakom čase, ak jej zmeškal. Ale dôsledky ich práce. Čo ak ste sa stali obeťou tohto druhu nekrytosti? Zaoberáme sa. Ak chcete začať, je potrebné približne vedieť, ako je nepriateľ usporiadaný na zastavenie prepravy s hlúpymi otázkami všetkých a všetko v nádeji, že sa Šaman s tamburínom objaví a rozhodne sa v okamihu vášho problému. Takže vírus používa asymetrické kľúče, pokiaľ viem, inak by s ním bolo toľko problémov. Takýto systém používa dva tlačidlá, z ktorých jeden je šifrovaný, ostatné dešifrty. Okrem toho sa prvýkrát vypočíta z druhej (ale nie naopak). Snažte sa si to predstaviť, a čo sa nazýva na prsty. Zvážte pár výkresov, ktoré jasne demonštrujú proces šifrovania a dešifrovanie.

Nedôverujeme do podrobností o tom, ako je vytvorený otvorený kľúč. Tieto dva obrázky demonštrujú vizuálny proces šifrovania a potom dešifrovanie, je to, ako zatvoriť dvere a potom ho otvorte. Čo je naozaj problém s vírusom-šifrovaním? Problém je, že vôbec nemáte žiadny kľúč. Kľúče na útočníkovi. A šifrovacie algoritmy, ktoré používajú túto technológiu, sú veľmi mazané. Môžete nejako získať verejný kľúč, študovať súbor, ale nedáva to zmysel, pretože potrebujete tajný kľúč. Ale s ním snag. Dokonca sa učiť kľúč otvorený, tajomstvo, aby sa takmer nemožné. Je jasné, že vo filmoch a knihách, ako aj príbehy priateľov a známych, existujú nejaké super-duper hackeri, ktorí budú dešifrovať všetko s Maizinzom nad klávesnicou, hack všetko v čele a v skutočnom svete je všetko Nie je to tak jednoduché. Poviem, že v čele túto úlohu nie je vyriešiť a bod.

A teraz o tom, čo robiť, keby ste si zdvihol túto neho. Nemáte veľa možností. Najviac banálny kontaktovať autor e-mailom, ktorý vám poskytne novú tapetu pre pracovnú plochu, a tiež píše v mene každého pokazeného súboru. Buďte opatrní, inak nedostanete žiadne peniaze súbory. Možnosť Druhá antivírusová spoločnosť, najmä Dr. Web. Obráťte sa na tie podporu na https://support.drweb.ru/new/free_unlocker/for_decode/?lng\u003dRU. Dodržiavajte položky, ktoré sú potrebné a WAILLY. Je pravda, že je jeden, ale! Ak to nemáte, musíte použiť licencovaný antivírus z webu Dr. Ak ho nemáte, budete musieť zakúpiť licenciu. V prípade úspechu bude vaša požiadavka prejde na technickú podporu spoločnosti a potom očakávať odpoveď. Venujte osobitnú pozornosť, že táto metóda nedáva 100% záruky, aby plne dešifrovať všetky súbory, je to spôsobené tým, že nie sú všetky kľúče a algoritmy na sklade. Ostatné antivírusové spoločnosti sa zaoberajú dešifrovaním, pri takýchto podmienkach. Treťou možnosťou je kontaktovať orgány činné v trestnom konaní. Mimochodom, ak vytvoríte požiadavku na Dr. Web, dokonca vám o tom povie. Variant tretieho môže byť zdĺhavý a neúspešný (ako prvé dva), ale ak je to úspešné, útočník bude potrestaný a poškodí ľudí menej, a kľúč bude prevedený do antivírusových spoločností. Tam je tiež štvrtá voľba - nebudete sa neúspešne pokúsiť nájsť zázrak majstra, ktorý nejako rozšíril super tajným spôsobom. Poslať ďalej! Ale premýšľajte o tom! Ak antivírusové spoločnosti nedávajú 100% záruk a odporučiť kontaktovanie polície, potom čo ešte hľadať? Nestrácajte čas a peniaze, buďte realistickí.

Zhrnutie. Bohužiaľ, mnohí ľudia sú urazené majstrov, ktorí ich posielajú do polície alebo na antivírusovú spoločnosť, prosiť, aby im pomohla, ale naši drahí používatelia, pochopiť, majstri nie sú omnipot, a tu potrebujete vynikajúce znalosti v kryptografie nepravdepodobné, že pomôžu. Preto používajte tri vyššie uvedené metódy, ale s prvým gentletrom (extrémnym) je lepšie kontaktovať orgány, a paralelne sa snaží ušetriť aspoň niečo s pomocou špecialistov z antivírusovej spoločnosti.
Áno, Mimochodom, odvolanie na políciu pomôže iným obetiam a ak sa všetci snažia urobiť, infekcia tohto bude niekoľkokrát menej, takže si myslíte, že nielen o sebe, ale aj iných ľudí. A stále pripravení na to, čo je možné okrem autora vírusu už vyriešiť váš problém! Preto urobte dôležitú produkciu pre seba a RAM hodnotné súbory vo viacerých inštanciách na rôznych zariadeniach alebo používajte cloudové služby.

Windows Trojan.encoder.19 Deciner - Deciphering Utility od spoločnosti "Doctor Web" pre Trojan Program Trojan.encoder.19. Infekcia systému, Trojan opustí textový súbor Crypted.txt Národné $ 10 za flapový program:

Vaše súbory sú šifrované! Deffranger stojí $ 10! Čítajte viac: http: //decryptor.****** E-mail: [Chránené e-mail]****** ICQ: ******* S / N BF_3-PUCHT $ + BM5 Neodstraňujte a nemeňte tento súbor !!!

Inštrukcie na používanie

1. Spustite dešifrovanie súborov na celom disku C: Disk. Ak to chcete urobiť, spustite program s nasledujúcimi parametrami príkazového riadka:

   Napríklad:

2. Súbory na disk C: budú dešifrované. Po dokončení pomôcka, nástroj vedľa šifrovaných súborov. Krypt sa musí objaviť dešifrované súbory bez dokončenia. Krypt. Nie sú potrebné žiadne šifrované súbory, pretože Možnosť nesprávnej dešifrovania nie je vylúčená.

Pozor! Kategoricky neodporúčame vyplácať dôvody spätného odkúpenia. Okrem toho si dôrazne prosím, užívatelia nie je pokúsiť sa znova nainštalovať systém a obnoviť ho zo záloh, ale hľadať pomoc v technickej podpore, alebo na špeciálnu časť oficiálneho fóra lekára.

Ak sa vám nepodarilo dešifrovať niektoré súbory, pošlite na adresu [Chránené e-mail] Krypted.txt súbor z koreňa disku c: a niekoľko vzoriek šifrovaných súborov.

Špecialisti spoločnosti Dr. Web Anti-Virus spoločnosti vyvinuli metódu pre dešifrovanie súborov, ktoré boli neprístupné v dôsledku nebezpečného trójskeho kodéra Trojan.encoder.2843 známy užívateľom pod názvom "Vault".

Táto verzia šifrtora získaná Dr.Web Klasifikácia Trojan.encoder.2843 , Aktívne sa vzťahuje na votrelcov s pomocou hromadnej pošty. Ako pripútanosť sa ako príloha používa malý súbor obsahujúci skript Javascript. Tento súbor vyberá aplikáciu, ktorá vykonáva zostávajúce akcie potrebné na zabezpečenie práce snímača. Táto verzia Trojan-EncryPter je distribuovaná od 2. novembra 2015.

Princíp fungovania tohto škodlivého programu je tiež veľmi zvedavý. Šifrovaná dynamická knižnica (.dll) je zaznamenaná v registri Registry Windows Registry a Trojan vloží malý kód, ktorý číta súbor z pamäte registra, dešifruje a prenesie kontroly.

Zoznam šifrovaných súborov Trojan.encoder.2843 Tiež obchody v systémovom registri a pre každý z nich používa jedinečný kľúč pozostávajúci z kapitálových latinských písmen. Šifrovanie súborov sa vykonáva pomocou algoritmov ECB-ECB, kód relácie je šifrovaný pomocou RSA pomocou rozhrania CryptoAPI. Každý šifrovaný súbor je priradený rozšírenie .Vault.

Špecialisti spoločnosti "Doctor Web" vyvinuli špeciálnu techniku, v mnohých prípadoch umožňujúcich súbory poškodené týmto trójskym. Ak ste sa stali obeťou škodlivého programu Trojan.encoder.2843 Využite tieto odporúčania:

• odkazujú na príslušné vyhlásenie v polícii;
• v žiadnom prípade sa nepokúšajte preinštalovať operačný systém, "optimalizovať" alebo "čistiť" ho pomocou akýchkoľvek nástrojov;
• neodstraňujte žiadne súbory v počítači;
• nepokúšajte sa obnoviť šifrované súbory sami;
• kontaktujte Dr Web Technická podpora (táto služba je zadarmo pre obchodné licencie DR.WEB);
• na lístok pripojte akýkoľvek súbor šifrovaný trójskym;
• Čakať na odborníka technickej podpory; Vzhľadom na veľký počet požiadaviek môže trvať nejaký čas.

Pripomíname vám, že služby pre dekódovacie súbory sú len majiteľmi komerčných licencií pre Dr.Web Anti-Virus Products. Doktor Web neumožňuje úplnú záruku na dešifrovanie všetkých súborov poškodených ako výsledok kodéra súboru, ale naši odborníci vynaložia maximálne úsilie na uloženie šifrovaných informácií.

Ak je systém infikovaný škodlivým programom rodín Trojan-Ransom.win32.Ranoh, Trojan-Ransom.win32.Autoit, Trojan-Ransom.win32.Fury, Trojan-Ransom.win32.crybola, Trojan-Ransom.win32. Cryakl alebo Trojan-Ransom. Win32.cryptxxx, všetky súbory na počítači budú šifrované nasledovne:

• Keď sa infikuje Trojan-Ransom.win32.Ranoh, mená a rozšírenia sa zmenia pri uzamknutej šablóne<оригинальное_имя>.<4 произвольных буквы>.
• Keď je infikovaný Trojan-Ransom.win32.cryakl, je pridaný štítok na koniec obsahu súborov, pridá sa štítok (CryptendBlackDC).
• Keď infikuje Trojan-Ransom.win32.Autoit rozšírenie sa líši podľa šablóny<оригинальное_имя>@<почтовый_домен>_.<набор_символов>.
  Napríklad, [Chránené e-mail]_.Rzwdtdic.
• Pri infikovaní Trojan-Ransom.win32.cryptxxx sa rozšírenie líši v šablónach<оригинальное_имя>.crypt,<оригинальное_имя>.crypz I.<оригинальное_имя>.cryp1.

Utility Rannohdecryptor je určený na dešifrovanie súborov po infekcii Trojan-Ransom.win32.polyglot, Trojan-Ransom.win32.Ranoh, Trojan-Ransom.win32.Autoit, Trojan-Ransom.win32.Fury, Trojan-Ransom.win32.Crybola, \\ t Trojan Ransom.win32.Cryakl alebo Trojan-Ransom.win32.cryptxxx verzie 1, 2 a 3.

Ako vyliečiť systém

Vyliečiť infikovaný systém:

1. Stiahnite si súbor RannohDecryptor.zip.
2. Spustite súbor RannohDecryptor.exe na infikovanom stroji.
3. V hlavnom okne kliknite na tlačidlo Šek.

1. Zadajte cestu do šifrovaného a nezašifrovaného súboru.
   Ak je súbor šifrovaný Trojan-Ransom.win32.cryptxxx, zadajte najväčšie súbory. Dekódovanie bude k dispozícii len pre rovnaké alebo menšie súbory.
2. Počkajte na vyhľadávanie a dešifrovanie šifrované súbory.
3. Ak je to potrebné, reštartujte počítač.
4. po uzamknutí<оригинальное_имя>.<4 произвольных буквы>Ak chcete vymazať kópie šifrovaných súborov úspešného zobrazenia dešifrovania, vyberte položku.

Ak bol súbor šifrovaný Trojan-Ransom.win32.Cryakl, nástroj uloží súbor na starých miestach s rozšírením. Dešifrónka. Ak ste si vybrali Odstráňte šifrované súbory po úspešnom dešifrovaníSúbor zásobníka sa uloží pomocou pôvodného mena.

1. V predvolenom nastavení sa nástroj zobrazí prehľad na koreňový systém systému (disk, na ktorom je nainštalovaný systém OS).

   Názov správy má nasledujúci formulár: Názvy názvov. Device_Data_log.txt

   Napríklad, c: rannohdecrypt.1.1.0.0_02.05.2012_15.31.43_log.txt

V systéme infikovanej Trojan-Ransom.win32.cryptxxx, utility skenuje obmedzený počet formátov súborov. Keď je používateľ zvoliteľný súbor CryptXXX V2, obnovenie kľúčov môže trvať dlho. V tomto prípade utility zobrazuje varovanie.