vmartyanov.ru

BAT.Encoder.23

Дальнейшее развитие BAT.Encoder.2. Начал распространяться 06.08.2014 после спада активности семейства BAT.Encoder.* Распространяется при помощи JS.Downloader.300 под видом счета в email-рассылках. Вторая волна распространения началась 19.08.2014

Основное отличие в том, что таскает публичную часть мастер-ключа прямо в BAT-файле. В остальном все то же самое: криптография на GPG, при запуске создает машинную ключевую пару, шифрует ее приватную часть мастер-ключом, потом шифрует машинным ключом файлы. Способен рассылаться по найденным на машине адресам email. Модификация от 19.08.2014 уже не убивает установленный GPG.

Следующее значимое изменение функционала было зафиксировано 11.09.2014 вместе с новой волной распространения: троян содержал в себе уже два ключа и перед шифрованием выбирал случайным образом какой из них использовать. В паре с ключом выбиралось и расширение для зашифрованных файлов (*.paycrypt@gmail_com или *.keybtc@gmail_com). Для предотвращения шифрования троян использует один файл, а для предотвращения рассылки себя по почте — другой. Таким образом, для защиты нужно создавать уже два файла.

Существует интересный метод защиты: создание специального файла в каталоге %temp%, который применяется трояном для защиты от повторного запуска. Список файлов для разных модификаций:

  • %temp%\crypta.bin
  • %temp%\crypti.bin
  • %temp%\paycrpt.bin
  • %temp%\alligation.bit и %temp%\skipcrypo.bit (то есть ДВА файла одновременно)

На данный момент известно несколько модификаций с дополнительными расширениями keybtc@gmail_com и paycrypt@gmail_com

Описание трояна на сайте Dr.Web — по ссылке

6 comments for “BAT.Encoder.23

  1. Денис
    10.10.2014 at 17:47

    Вчера поймал вирус-шифровальшик «*.id-{PQXFJQATPJNGMPICCKHTZTQJTTWZFOOXUFYK-10.10.2014 1@41@159084414}-email-helpdecrypt@gmail.com-ver-4.0.0.0.cbf»

    по следам(остаткам) вируса нашел такие файлы:
    d.bat — зачищающий(ping -n 10 localhost>Nul
    del /f /q C:\Program Files\martyanov — mowennik\*.exe
    del /f /q C:\Program Files\martyanov — mowennik\*.bat)
    и собственно «martyanov — mowennik» — содержит :
    {PQXFJQATPJNGMPICCKHTZTQJTTWZFOOXUFYK-10.10.2014 1@41@159084414}
    9163454751465548606044665492

    что либо из этого поможет расшифровке файлов?
    заранее спасибо за ответ.

  2. Николай
    15.10.2014 at 13:26

    Владимир, добрый день!
    Подскажите на данный момент не появилась возможность расшифровки вируса bat.encoder.23
    я от отчаяния написал разработчикам этой гадости все как они написали в инструкции, но они не отвечают…

  3. Дмитрий
    01.11.2014 at 09:55

    Здравствуйте Владимир! я поймал шифровальщик bat.encode.23
    являюсь пользователем лицензионного drweb. в support отписал, там сказали что пока возможности для дешифровки нет. От вас на некоторых ресурсах есть информация что претенденты удачной расшифровки от этого кодировщика были. можете помочь?

Добавить комментарий для Владимир Мартьянов Отменить ответ

Ваш e-mail не будет опубликован. Обязательные поля помечены *