vmartyanov.ru

Рубрика: BAT.Encoder.*

BAT.Encoder.23

Дальнейшее развитие BAT.Encoder.2. Начал распространяться 06.08.2014 после спада активности семейства BAT.Encoder.* Распространяется при помощи JS.Downloader.300 под видом счета в email-рассылках. Вторая волна распространения началась 19.08.2014 Основное отличие в том, что таскает публичную часть мастер-ключа прямо в BAT-файле. В остальном все то же самое: криптография на GPG, при запуске создает машинную ключевую пару, шифрует ее приватную…

*.keybtc@gmail_com

Дополнительное расширение *.keybtc@gmail_com к зашифрованным файлам добавляют модификации BAT.Encoder.23 Их распространение началось 06.08.2014 Расшифровка крайне маловероятна: для расшифровки в общем случае нужна утечка приватной части мастер-ключа. Существует небольшой шанс на сохранность файлов secring.* от трояна, тогда можно будет расшифровать файлы на одной машине. Если вы хотите попытать счастья с расшифровкой — присылайте в техподдержку Dr.Web…

*.unstyx@gmail_com

Расширение *.unstyx@gmail_com к зашифрованным файлам добавляет модификация BAT.Encoder.2 В дикой природе замечены 2 ключа для расширения *.unstyx@gmail_com: F107EA9F/E578490A (есть расшифровка) 01270FE6/F3E75FD0 (есть расшифровка) В компании Dr.Web имеются средства, необходимые для расшифровки файлов.  

*.paycrypt@gmail_com

Расширение *.paycrypt@gmail_com к зашифрованным файлам добавляет модификация BAT.Encoder.2 или BAT.Encoder.23 Существует несколько вариантов трояна с таким добавочным расширением, которые отличаются используемыми мастер-ключами: F107EA9F/E578490A (есть расшифровка) F05CF9EE/3ED78E85 (нет расшифровки) У нас в Dr.Web есть расшифровка после некоторых модификаций при наличии файла key.private

*.good

Расширение *.good к зашифрованным файлам добавляет третья по счету модификация BAT.Encoder.18. С такими случаями я встретился 18.07.2014, а за несколько дней до этого на моем сайте искали как раз такую модификацию трояна. Что странно… Использует ключ с E71BDC55, для него расшифровка у Dr.Web имеется, спасибо посетителю сайта!

*.crypt

Дополнительное расширение *.crypt к именам файлов добавляет одна из модификаций BAT.Encoder.18. Хотя, многие другие трояны тоже могут добавлять такое же расширение, оно не уникально. Так что внимательно сравнивайте признаки. Вариант *.crypt отличается от *.pzdc только дополнительным расширением и контактным email: unlocker@myself.com Ключ шифрования все тот же, соответственно и расшифровка у Dr.Web имеется.

*.pzdc

Дополнительное расширение *.pzdc к именам файлов добавляет одна из модификаций BAT.Encoder.18. Для такого расширения известна только одна модификация трояна, которая использует GPG-ключ с такими данными: pub 1024R/6E697C70 2014-06-30 uncrypt <uncrypt@mail.com> Контакт для связи с авторами трояна — uncrypt@mail.com. Вариант с ключом 6E697C70 мы в Dr.Web можем успешно расшифровать.

BAT.Encoder.2

Распространение началось в середине мая 2014 года и ознаменовало первую волну такого типа троянов. Распространялся под видом судебных исков и тому подобного во вложениях в электронной почте. Вложение представляло собой Java-Script-файл, который скачивал остальные компоненты трояна и запускал их. Также была зафиксирована рассылка от имени антивирусных компаний. Несмотря на то, что является BAT-файлом, имеет довольно…

BAT.Encoder.18

Распространение началось в первой половине июля 2014 года. Распространяется под видом резюме во вложениях в электронной почте. В отличии от более ранней версии BAT.Encoder.2, рассылается исполняемый файл инсталлятора NSIS. При запуске распаковывает свое содержимое и запускает BAT-файл. Этот троян существенно проще чем BAT.Encoder.2: он тупо убивает данные уже установленного GPG (очень зря!), добавляет в GPG…