Расширение *[email protected] к именам файлов добавляет группа разновидностей Trojan.Encoder.293.
Распространение таких модификаций было замечено 15.07.2014, но, возможно, оно началось на пару дней раньше. Эти модификации отличаются только параметрами шифрования, других отличий не выявлено, поэтому снова будут проблемы с идентификацией разных вариантов. Как их решает автор трояна — не понимаю.
Эти варианты трояна, судя по всему, являются потомками *[email protected]: та же длина модуля (0xF5 байт).
27.07.2014 появилась возможность полноценной расшифровки файлов при наличии самого трояна.
Как думаете, Владимир, чьих рук эти энкодеры?
Судя по хитрому способу доставки ссылки на архив в файлом, дело рук незарубежных вредителей.
Известно чьих, в описаниях самих троянов даже написано 🙂
Владимир, схватил заразу, а где можно энкодер взять ? у меня вот это — Расширение *[email protected]
Нигде, у нас полноценной расшифровки пока нет.
Владимир, схватили заразу — пришло письмо, во вложении бяка (.ехе), девушка запустила — он пошифровал файлы, расширение стало как и у Витаса: *[email protected].
Тельце шифровщика сохранил.
Вопрос в том почему невозможна расшифровка? Ведь при подсовывании вирусу одних и тех же файлов на разных машинах — он криптует файлы один в один (сравнивал побайтно). Работает кстати в автономном режиме: что бы зашифровать файлы не требует выхода в интернет и пр. — достаточно на машине запустить выполниение экзешника.
Расшифровка при помощи трояна невозможна, потому что RSA.
У нас такая же фигня поймана, тела трояна нет, утилиты каспера от 25.07.2014 не помогают. Есть ли надежда ?
Теперь — есть.
И что CureIT спасет «отца русской демократии»?
Конечно нет. CureIt не позиционируется как программа для расшифровки файлов.
Если преклоняясь богу Ка… мы молимся, уповая на силу XoristDecryptor & RectorDecryptor, то какие заклинания должен произнести несчастный прихожанин (пользователь), вымаливая защиту у другого бога ? 🙂
Заклинание должно звучать так: «Я всегда буду читать страницу, к которой пишу комментарий. Я всегда буду внимательно смотреть на ссылки, особенно если ссылка имеет текст < <...полноценной расшифровки..>>»
даже не ходя по ссылке (да и чего там делать не имеея s/n на Dr.web) я очень внимательно прочитал «…при наличии самого трояна», которого как раз в наличии и нет. А это, насколько я понял и есть «необходимое и достаточное условие» для < >
Ну раз нет серийника — ищите дальше. Может кто-то утащит наши ключи и сделает расшифровку.
и всё-таки нужно тело трояна или необязательно ?
Обязательно. Либо вы присылаете свое, либо кто-то другой — без разницы, лишь бы модуль был для факторизации. Если нет модуля — не получить расшифровку.