vmartyanov.ru

Trojan.Encoder.293

При создании этого энкодера за основу был взят Trojan.Encoder.102, от которого не сильно отличается. Появился в сентябре 2013 года. Переходные формы от 102-го к 293-му получили относительно небольшое распространение.

Написан на Delphi неким Корректором. Обычно упакован и идет в комплекте с программой для кражи пролей «UFR stealer» (меняйте пароли после заражения!). Основной метод распространения — через электронную почту в аттачах или ссылкой. Однако были инциденты с заражением иным, неизвестным способом.

Шифрует различные типы файлов и добавляет к ним дополнительное расширение. Ставит на рабочий стол картинку с требованием оплаты за расшифровку файлов.

Шифрование — RSA с длиной ключа около 700 бит. Как и 102-й шифрует блоки до 49 байт с шагом 0x400 (1024) байт. Сперва шифруемый блок XORится с зашитыми в трояне данными, потом шифруется RSA как и в 102-м.

Для версий до лета 2014 года существует хороший шанс на расшифровку, если имеется сам файл с трояном.

Описание на сайте Dr.Web

  • RSS

2 comments for “Trojan.Encoder.293

  1. Вадим В.
    22.11.2014 at 11:45

    Уважаемый Владимир! Сколько я не пытался расшифровать, хотя бы частично 293 троян, увы ничего не получается. Сам троянец был конечно удалён, так как на момент когда он был пойман компьютером, мы даже понятия не имели, что существуют такие шифровщики, поэтому по привычке боролись с ним как с обычным вирусом. В ТП WEB-a обращался пару раз, но кроме утилиты они ничего предложить не смогли, так как моего трояна Heinz@oaht.com_h24 нет в списке для полноценной расшифровки. Утилита не помогает, даже для частичной расшифровки. Поэтому я обращаюсь к вам лично, если вы сумеете мне помочь, естественно не бесплатно, буду вам очень признателен. Возможно вам удастся создать дешифратор, у меня есть только пары файлов чистых и закодированных, самого троянца нет. Документы которые он повредил очень важные, это не просто база 1-С или домашние фотографии, это труд нескольких человек, поэтому прошу помочь. Резервные копии, мы успели сделать только частично, остальное потеряли. С уважением Вадим.

    • 22.11.2014 at 12:37

      Ну да, мне «всего-лишь» придется засесть за код и ковыряние в файлах на пару месяцев, дополнительно(!!!) к основной работе. Вам будет проще по форумам найти вашего трояна, чесслово.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *