vmartyanov.ru

Рубрика: BAT.Encoder.18

*.good

Расширение *.good к зашифрованным файлам добавляет третья по счету модификация BAT.Encoder.18. С такими случаями я встретился 18.07.2014, а за несколько дней до этого на моем сайте искали как раз такую модификацию трояна. Что странно… Использует ключ с E71BDC55, для него расшифровка у Dr.Web имеется, спасибо посетителю сайта!

*.crypt

Дополнительное расширение *.crypt к именам файлов добавляет одна из модификаций BAT.Encoder.18. Хотя, многие другие трояны тоже могут добавлять такое же расширение, оно не уникально. Так что внимательно сравнивайте признаки. Вариант *.crypt отличается от *.pzdc только дополнительным расширением и контактным email: unlocker@myself.com Ключ шифрования все тот же, соответственно и расшифровка у Dr.Web имеется.

*.pzdc

Дополнительное расширение *.pzdc к именам файлов добавляет одна из модификаций BAT.Encoder.18. Для такого расширения известна только одна модификация трояна, которая использует GPG-ключ с такими данными: pub 1024R/6E697C70 2014-06-30 uncrypt <uncrypt@mail.com> Контакт для связи с авторами трояна — uncrypt@mail.com. Вариант с ключом 6E697C70 мы в Dr.Web можем успешно расшифровать.

BAT.Encoder.18

Распространение началось в первой половине июля 2014 года. Распространяется под видом резюме во вложениях в электронной почте. В отличии от более ранней версии BAT.Encoder.2, рассылается исполняемый файл инсталлятора NSIS. При запуске распаковывает свое содержимое и запускает BAT-файл. Этот троян существенно проще чем BAT.Encoder.2: он тупо убивает данные уже установленного GPG (очень зря!), добавляет в GPG…