vmartyanov.ru

BAT.Encoder.23

Дальнейшее развитие BAT.Encoder.2. Начал распространяться 06.08.2014 после спада активности семейства BAT.Encoder.* Распространяется при помощи JS.Downloader.300 под видом счета в email-рассылках. Вторая волна распространения началась 19.08.2014

Основное отличие в том, что таскает публичную часть мастер-ключа прямо в BAT-файле. В остальном все то же самое: криптография на GPG, при запуске создает машинную ключевую пару, шифрует ее приватную часть мастер-ключом, потом шифрует машинным ключом файлы. Способен рассылаться по найденным на машине адресам email. Модификация от 19.08.2014 уже не убивает установленный GPG.

Следующее значимое изменение функционала было зафиксировано 11.09.2014 вместе с новой волной распространения: троян содержал в себе уже два ключа и перед шифрованием выбирал случайным образом какой из них использовать. В паре с ключом выбиралось и расширение для зашифрованных файлов (*.paycrypt@gmail_com или *.keybtc@gmail_com). Для предотвращения шифрования троян использует один файл, а для предотвращения рассылки себя по почте — другой. Таким образом, для защиты нужно создавать уже два файла.

Существует интересный метод защиты: создание специального файла в каталоге %temp%, который применяется трояном для защиты от повторного запуска. Список файлов для разных модификаций:

  • %temp%\crypta.bin
  • %temp%\crypti.bin
  • %temp%\paycrpt.bin
  • %temp%\alligation.bit и %temp%\skipcrypo.bit (то есть ДВА файла одновременно)

На данный момент известно несколько модификаций с дополнительными расширениями keybtc@gmail_com и paycrypt@gmail_com

Описание трояна на сайте Dr.Web — по ссылке

6 comments for “BAT.Encoder.23

  1. Денис
    10.10.2014 at 17:47

    Вчера поймал вирус-шифровальшик «*.id-{PQXFJQATPJNGMPICCKHTZTQJTTWZFOOXUFYK-10.10.2014 1@41@159084414}-email-helpdecrypt@gmail.com-ver-4.0.0.0.cbf»

    по следам(остаткам) вируса нашел такие файлы:
    d.bat — зачищающий(ping -n 10 localhost>Nul
    del /f /q C:\Program Files\martyanov — mowennik\*.exe
    del /f /q C:\Program Files\martyanov — mowennik\*.bat)
    и собственно «martyanov — mowennik» — содержит :
    {PQXFJQATPJNGMPICCKHTZTQJTTWZFOOXUFYK-10.10.2014 1@41@159084414}
    9163454751465548606044665492

    что либо из этого поможет расшифровке файлов?
    заранее спасибо за ответ.

  2. Николай
    15.10.2014 at 13:26

    Владимир, добрый день!
    Подскажите на данный момент не появилась возможность расшифровки вируса bat.encoder.23
    я от отчаяния написал разработчикам этой гадости все как они написали в инструкции, но они не отвечают…

  3. Дмитрий
    01.11.2014 at 09:55

    Здравствуйте Владимир! я поймал шифровальщик bat.encode.23
    являюсь пользователем лицензионного drweb. в support отписал, там сказали что пока возможности для дешифровки нет. От вас на некоторых ресурсах есть информация что претенденты удачной расшифровки от этого кодировщика были. можете помочь?

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *