vmartyanov.ru

Автор: Владимир Мартьянов

*.back_files2014@aol.com_*

Расширение *.back_files2014@aol.com_* к именам зашифрованных файлов может дописывать Trojan.Encoder.398. Такие случаи встречались весной-летом 2014 года, потом сошли на нет. Расшифровка возможна в некоторых случаях, наверное даже в большинстве из них.

foxmail@inbox.com

Контактный email foxmail@inbox.com использует очередная модификация Trojan.Encoder.741, которая начала распространяться примерно 15.12.2014. Дополнительное расширение зашифрованных файлов — *.id-1234567890_foxmail@inbox.com (цифры могут быть другими). Расшифровка, я считаю, вполне вероятна, хотя на ее создание и может уйти несколько месяцев.

*.filescrypt2014@foxmail.com]_*

Расширение *.filescrypt2014@foxmail.com]_* к зашифрованным файлам дописывает одна из модификаций Trojan.Encoder.398. Распространение этой модификации началось 2.12.2014 и в сутки фиксировалось несколько сотен обращений в нашу техподдержку. Отличия от модификации *.filescrypt2014@foxmail.com_* минимальные: добавлена угловая скобка после email’а в имени файла, хотя в некоторых случаях ее нет. Второе изменение: число случайных символов после «_» в имени файла всегда…

*.filescrypt2014@foxmail.com_*

Расширение *.filescrypt2014@foxmail.com_* к именам зашифрованных файлов дописывает одна из разновидностей Trojan.Encoder.398. Насколько я помню, эта версия появилась в мае 2014 года, с тех пор зафиксировано около сотни случаев шифрования файлов. Я думаю что реальное число инцидентов с этой модификацией достигает нескольких сотен. Для хэширования ключа используется алгоритм SHA-512. Работы по расшифровке были начаты в мае…

Trojan.Encoder.398

Trojan.Encoder.398 появился в самом начале 2014 года как дальнейшее развитие Trojan.Encoder.225. По сути, 398-й энкодер это тот же 225-й, только параметры шифрования и контактные данные для связи с авторами он получает с сервера. Написан на Delphi, реализация криптоалгоритмов взята из библиотеки DCPCrypt. Как и 225-й, этот энкодер использует один из 18 возможных алгоритмов для шифрования…

Trojan.Encoder.787

Оригинальный троянец, написанный на Autoit. Распространение было замечено 28.10.2014, зафиксирована пара случаев заражения. Этот троян широко использует CryptoAPI для создания ключей и шифрования. Само шифрование — AES-256, генерация ключа довольно запутанно сделана. Расширение зашифрованных файлов — *._i.oblomov@india.com_.* Расшифровка возможна для как минимум одной модификации, существование других модификаций возможно, но не подтверждено.

Электронная цифровая подпись

Начал писать про TLS/SSL, всплыла тема про сертификаты, она потянула за собой тему ЭЦП, она же, в свою очередь, потянула тему асимметричной криптографии… И так далее, до самых основ мироздания, но я принял решение остановиться на уровне ЭЦП. ЭЦП — электронная цифровая подпись. Для начала нужно сразу сказать, что не является ЭЦП: картинка с отсканированной…

hawker@mail2tor.com

Контактный email hawker@mail2tor.com использует новая модификация Trojan.Encoder.556. Распространение началось 25-26.09.2014, первоначально этот троян был добавлен как Trojan.Encoder.770, но потом получил правильное имя. Данная модификация имеет несколько небольших, но интересных отличий от базового варианта. Во-первых, число файлов в SFX-архиве было уменьшено, а основной функционал стал сосредоточен в одном файле — moar.exe. Предполагаю, что и самим авторам…

help@antivirusebola.com

Контактный email help@antivirusebola.com использует третья модификация Trojan.Enoder.741, дополнительный email — antivirusebola@aol.com. Дополнительное расширение у файлов — *.id-1234567890_help@antivirusebola.com (цифры могут быть другими). Распространение началось 20.08.2014 Расшифровка возможна.