vmartyanov.ru

ant@lelantos.org

Контактный email ant@lelantos.org использует одна из модификаций Trojan.Encoder.556. Второй контактный адрес — ant@sigaint.org

Эта модификация начала распространяться через email-рассылки 31.07.2014 в SFX-архивах под видом исковых заявлений. Внутри SFX-архива лежит чуть ли не десяток файлов!

После запуска SFX-архива и его распаковки, троян создает пароль и записывает его в файл с именем thy. Потом при помощи отдельных EXE-файлов, идущих в комплекте, преобразует его содержимое в HEX-строку и шифрует ее по алгоритму RSA с получением файла thy.ss, который остается на машине после окончания работы трояна. Файл thy троян удаляет.

Полученный пароль используется для RAR-архивов, в которые троян и кладет файлы пользователя. Рядом с зашифрованными файлами появляется файл !Фaйлы зaшифpовaны.txT с требованиями и !!password* с зашифрованным паролем.

Шансы на расшифровку малы: для расшифровки требуется файл thy, но троян его удаляет. Можно пробовать восстановить его специальными программами для восстановления данных, но и тут шансов, я думаю, немного.

8 comments for “ant@lelantos.org

  1. peevo
    01.08.2014 at 14:16

    Шансов на восстановление thy или шифруемых файлов нет.
    В коде используется забивание файла нулями — тулзы для восстановления данных не смогут помочь в этом случае.

    • 01.08.2014 at 14:18

      Троян пытается уничтожить файл только один раз и не проверяет результат, так что в принципе шансы есть.

  2. Oleg
    01.08.2014 at 15:20

    Поиск удаленных файлов на диске не принес никаких результатов.
    Забить нулями свободное место не так быстро. Нужно знать конкретное расположение файла в секторах, чтобы забить нулями именно их, а не всё свободное место. Это — время, а пауза в работе трояна (ping … > nul) всего 5 секунд.
    Вы уверены, что thy — это именно файл, а не переменная?

  3. Muncubus
    01.08.2014 at 15:33

    Обработал 2 компа после сработки вируса 6 программами восстановления — файла thy нет. Все не просто.

  4. Muncubus
    02.08.2014 at 17:58

    Так понимаю будем ждать, пока кто-нибудь не заплатит и не выложит что прислали потом)

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *