vmartyanov.ru

Trojan.Encoder.94

Из всех энкодеров, что на начало августа 2014 года все еще в строю, 94-й — самый старый. Распространение этого трояна началось в январе 2011 года. До лета 2014 (если я ничего не путаю) именно 94-й энкодер занимал лидирующую позицию по числу вариантов, которые мы можем расшифровать, но потом вариантов расшифровки для 102-го и его потомков стало больше.

Большое число вариантов, широкое распространение и активность на протяжении как минимум трех лет — результат наличия в публичном доступе конструктора для создания модификаций трояна. Правда, незадачливые «хацкеры» зачастую умудряются запустить созданного своими же руками энкодера…

Троян написан на ассемблере и имеет довольно небольшой размер. Данные, необходимые для шифрования и идентификации конкретного варианта зашифрованы. Зачастую встречается в дикой природе в неупакованном виде.

Для шифрования файлов может применять один из трех алгоритмов: XOR, TEA и AES. Причем первые версии AES не поддерживали, а публичный конструктор и вовсе не умеет создавать варианты с AES. Шифрование файлов в большинстве случаев начинается не с начала файла, поэтому заголовок обычно не тронут. Файл шифруется до определенного смещения. Зашифрованные файлы получают дополнительное расширение (зафиксировано более 220 различных), наиболее распространенное — *.encrypted

Интересной особенностью трояна является то, что он ассоциирует себя с зашифрованными файлами, то есть запускается при попытке открыть их двойным щелчком. Для зашифрованных файлов прописывает тип «CRYPTED!» в свойствах файлов.

Расшифровка файлов, зашифрованных по алгоритмам XOR и TEA обычно возможна. Для расшифровки AES необходим сам троян.

Отдельные модификации в силу их многочисленности рассматривать не имеет смысла.

Описание на сайте Dr.Web

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *