Trojan.Encoder.398 появился в самом начале 2014 года как дальнейшее развитие Trojan.Encoder.225. По сути, 398-й энкодер это тот же 225-й, только параметры шифрования и контактные данные для связи с авторами он получает с сервера.
Написан на Delphi, реализация криптоалгоритмов взята из библиотеки DCPCrypt. Как и 225-й, этот энкодер использует один из 18 возможных алгоритмов для шифрования файлов: Blowfish, CAST-128, CAST-256, DES, ГОСТ, ICE, IDEA, MARS, MISTY1, 3DES, RC4, RC5, RC6, AES (Rijndael), Serpent, TEA, Twofish, RC2. Реализация криптоалгоритмов, по большей части, отличается от стандартной: например тот же RC4 из трояна не является настоящим RC4.
Файлы этот троян шифрует целиком, в начало дописывает свой заголовок, длина которого зависит от алгоритма. Первые 8 байт — соль для ключа, за ней следует IV для криптоалгоритма. Соль и IV случайны и свои для каждого файла. Режим шифрования — ECB, хвост файла, не кратный размеру блока шифрования, шифруется особым образом. Полученный с сервера ключ смешивается с солью и результат хэшируется, результат работы хэш-функции используется в качестве ключа шифрования, в итоге для каждого файла получается свой ключ.
Существует много различных модификаций этого трояна, которые отличаются как явными признаками, типа контактных данных и расширения, так и незаметными: списком алгоритмов шифрования и алгоритмом хэширования.
Общее описание семейства на сайте Dr.Web