vmartyanov.ru

*.contact@casinomtgox.com

Расширение *.contact@casinomtgox.com к именам файлов добавляет группа разновидностей Trojan.Encoder.293.

Распространение таких модификаций было замечено 15.07.2014, но, возможно, оно началось на пару дней раньше. Эти модификации отличаются только параметрами шифрования, других отличий не выявлено, поэтому снова будут проблемы с идентификацией разных вариантов. Как их решает автор трояна — не понимаю.

Эти варианты трояна, судя по всему, являются потомками *.Support@casinomtgox.com: та же длина модуля (0xF5 байт).

27.07.2014 появилась возможность полноценной расшифровки файлов при наличии самого трояна.

16 comments for “*.contact@casinomtgox.com

  1. Fraq
    17.07.2014 at 14:19

    Как думаете, Владимир, чьих рук эти энкодеры?
    Судя по хитрому способу доставки ссылки на архив в файлом, дело рук незарубежных вредителей.

  2. Витас
    18.07.2014 at 17:18

    Владимир, схватил заразу, а где можно энкодер взять ? у меня вот это — Расширение *.contact@casinomtgox.com

  3. Леонид
    22.07.2014 at 20:33

    Владимир, схватили заразу — пришло письмо, во вложении бяка (.ехе), девушка запустила — он пошифровал файлы, расширение стало как и у Витаса: *.contact@casinomtgox.com.
    Тельце шифровщика сохранил.
    Вопрос в том почему невозможна расшифровка? Ведь при подсовывании вирусу одних и тех же файлов на разных машинах — он криптует файлы один в один (сравнивал побайтно). Работает кстати в автономном режиме: что бы зашифровать файлы не требует выхода в интернет и пр. — достаточно на машине запустить выполниение экзешника.

  4. Игорь
    29.07.2014 at 13:32

    У нас такая же фигня поймана, тела трояна нет, утилиты каспера от 25.07.2014 не помогают. Есть ли надежда ?

    • 29.07.2014 at 13:33

      Теперь — есть.

      • Игорь
        29.07.2014 at 13:48

        И что CureIT спасет «отца русской демократии»?

        • 29.07.2014 at 13:50

          Конечно нет. CureIt не позиционируется как программа для расшифровки файлов.

          • Игорь
            29.07.2014 at 14:05

            Если преклоняясь богу Ка… мы молимся, уповая на силу XoristDecryptor & RectorDecryptor, то какие заклинания должен произнести несчастный прихожанин (пользователь), вымаливая защиту у другого бога ? 🙂

          • 29.07.2014 at 14:08

            Заклинание должно звучать так: «Я всегда буду читать страницу, к которой пишу комментарий. Я всегда буду внимательно смотреть на ссылки, особенно если ссылка имеет текст < <...полноценной расшифровки..>>»

          • Игорь
            29.07.2014 at 14:21

            даже не ходя по ссылке (да и чего там делать не имеея s/n на Dr.web) я очень внимательно прочитал «…при наличии самого трояна», которого как раз в наличии и нет. А это, насколько я понял и есть «необходимое и достаточное условие» для < >

          • 29.07.2014 at 14:24

            Ну раз нет серийника — ищите дальше. Может кто-то утащит наши ключи и сделает расшифровку.

          • Игорь
            29.07.2014 at 14:31

            и всё-таки нужно тело трояна или необязательно ?

          • 29.07.2014 at 14:34

            Обязательно. Либо вы присылаете свое, либо кто-то другой — без разницы, лишь бы модуль был для факторизации. Если нет модуля — не получить расшифровку.

Добавить комментарий для Леонид Отменить ответ

Ваш e-mail не будет опубликован. Обязательные поля помечены *