Широко распространенный энкодер, появившийся в апреле 2011 года. Написан на Delphi неким Корректором.
Как правило упакован и идет в комплекте с программой для кражи паролей «UFR Stealer» (меняйте пароли после заражения!). Основной метод распространения — через электронную почту в аттачах или ссылкой.
Шифрует различные типы файлов и обычно их не переименовывает. Версии с добавлением расширения, пожалуй, стоит называть иначе, но так сложилось что и они — 102й энкодер. Ставит на рабочий стол картинку с требованием оплаты за расшифровку файлов.
Шифрование — RSA с длиной ключа около 700 бит. Отдельные версии, которые тоже не совсем 102-й энкодер, дополнительно перемешивают данные в файле. Шифруются блоки размером до 49 байт с шагом в 0x400 (1024) байт. На месте зашифрованных данных появляется мусор, а зашифрованные данные в виде HEX-строки пишутся в хвост файла.
Некорректно шифрует файлы больше 4 Гб: расшифровка их становится невозможной или крайне сложной.
Описание на сайте Dr.Web
Вы делаете очень полезное дело! Рекомендую добавить кпопку Donate. И вопрос — не планируется ли прикрутить эвристику на подобных троянов в Drweb? Это мог бы быть шаг вперед по сравнению с продуктами конкурентов, т.к. шифровальщики — настоящая «головная боль» последних лет.
Donate может и сделаю, но это не проблема первоочередной важности. Эвристика бесполезна без движка, который дойдет до оригинального кода.
Неужели эмулятор не «раскручивает» большинство современных пакеров?
На то и пакеры, чтобы их не раскрутить было.
День добрый! Дай Вам Бог здоровья, спасибо за Ваш труд! В одном из Ваших постов прочитал что уже есть «Имеется полноценная расшифровка для следующих вариантов: _IQxxx, варианты IQ233, IQ262, IQ289, IQ299″
Это очень приятная новость! А где собственно скачать лечебную утилиту и руководство по дешифровке? У меня версия IQ139.
В техподдержку обращайтесь.
ЧТО делать если вирус закодировал файлы и запустился счётчик 92 часа дал на раздумие?вирус требует биткоины.Стоит его удалить или скинуть закодированный файл в вэбовцам и ждать ответа?
Читайте FAQ