vmartyanov.ru

Trojan.Encoder.102

Широко распространенный энкодер, появившийся в апреле 2011 года. Написан на Delphi неким Корректором.

Как правило упакован и идет в комплекте с программой для кражи паролей «UFR Stealer» (меняйте пароли после заражения!). Основной метод распространения — через электронную почту в аттачах или ссылкой.

Шифрует различные типы файлов и обычно их не переименовывает. Версии с добавлением расширения, пожалуй, стоит называть иначе, но так сложилось что и они — 102й энкодер. Ставит на рабочий стол картинку с требованием оплаты за расшифровку файлов.

Шифрование — RSA с длиной ключа около 700 бит. Отдельные версии, которые тоже не совсем 102-й энкодер, дополнительно перемешивают данные в файле. Шифруются блоки размером до 49 байт с шагом в 0x400 (1024) байт. На месте зашифрованных данных появляется мусор, а зашифрованные данные в виде HEX-строки пишутся в хвост файла.

Некорректно шифрует файлы больше 4 Гб: расшифровка их становится невозможной или крайне сложной.

Описание на сайте Dr.Web

  • RSS

Post navigation

8 comments for “Trojan.Encoder.102

  1. Al
    15.07.2014 at 21:56

    Вы делаете очень полезное дело! Рекомендую добавить кпопку Donate. И вопрос — не планируется ли прикрутить эвристику на подобных троянов в Drweb? Это мог бы быть шаг вперед по сравнению с продуктами конкурентов, т.к. шифровальщики — настоящая «головная боль» последних лет.

    • 15.07.2014 at 21:59

      Donate может и сделаю, но это не проблема первоочередной важности. Эвристика бесполезна без движка, который дойдет до оригинального кода.

  2. Al
    16.07.2014 at 09:23

    Неужели эмулятор не «раскручивает» большинство современных пакеров?

  3. Кирилл
    24.09.2014 at 11:39

    День добрый! Дай Вам Бог здоровья, спасибо за Ваш труд! В одном из Ваших постов прочитал что уже есть «Имеется полноценная расшифровка для следующих вариантов: uas@nonpartisan.com_IQxxx, варианты IQ233, IQ262, IQ289, IQ299″
    Это очень приятная новость! А где собственно скачать лечебную утилиту и руководство по дешифровке? У меня версия IQ139.

  4. 08.01.2015 at 02:48

    ЧТО делать если вирус закодировал файлы и запустился счётчик 92 часа дал на раздумие?вирус требует биткоины.Стоит его удалить или скинуть закодированный файл в вэбовцам и ждать ответа?

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *