vmartyanov.ru

Рубрика: Trojan.Encoder.398

backyourfiles@126.com

Дополнительное расширение *.backyourfiles@126.com_* к зашифрованным файлам добавляет очередная модификация Trojan.Encoder.398. Распространение этой модификации началось с утра 02.02.2015, распространение происходило через массовую почтовую рассылку. Расшифровка на данный момент отсутствует, но ожидается с большой вероятностью в ближайшие недели.

restoreyourfiles@qq.com

Дополнительное расширение *.restoreyourfiles@qq.com_* к зашифрованным файлам дописывает одна из модификаций Trojan.Encoder.398. Распространение этого варианта было отмечено в первой половине 2014 года, было зафиксировано не более 2 десятков случаев заражения. Расшифровка возможна в большинстве случаев.

yourfiles@126.com

Контактный email yourfiles@126.com использует очередная модификация Trojan.Encoder.398. Распространение этой модификации началось 19.01.2015. Дополнительное расширение у зашифрованных файлов — *.yourfiles@126.com_* Расшифровка возможна.

*.back_files2014@aol.com_*

Расширение *.back_files2014@aol.com_* к именам зашифрованных файлов может дописывать Trojan.Encoder.398. Такие случаи встречались весной-летом 2014 года, потом сошли на нет. Расшифровка возможна в некоторых случаях, наверное даже в большинстве из них.

*.filescrypt2014@foxmail.com]_*

Расширение *.filescrypt2014@foxmail.com]_* к зашифрованным файлам дописывает одна из модификаций Trojan.Encoder.398. Распространение этой модификации началось 2.12.2014 и в сутки фиксировалось несколько сотен обращений в нашу техподдержку. Отличия от модификации *.filescrypt2014@foxmail.com_* минимальные: добавлена угловая скобка после email’а в имени файла, хотя в некоторых случаях ее нет. Второе изменение: число случайных символов после «_» в имени файла всегда…

*.filescrypt2014@foxmail.com_*

Расширение *.filescrypt2014@foxmail.com_* к именам зашифрованных файлов дописывает одна из разновидностей Trojan.Encoder.398. Насколько я помню, эта версия появилась в мае 2014 года, с тех пор зафиксировано около сотни случаев шифрования файлов. Я думаю что реальное число инцидентов с этой модификацией достигает нескольких сотен. Для хэширования ключа используется алгоритм SHA-512. Работы по расшифровке были начаты в мае…

Trojan.Encoder.398

Trojan.Encoder.398 появился в самом начале 2014 года как дальнейшее развитие Trojan.Encoder.225. По сути, 398-й энкодер это тот же 225-й, только параметры шифрования и контактные данные для связи с авторами он получает с сервера. Написан на Delphi, реализация криптоалгоритмов взята из библиотеки DCPCrypt. Как и 225-й, этот энкодер использует один из 18 возможных алгоритмов для шифрования…