ОСТОРОЖНО! Вирус-шифровальщик Trojan.Encoder.225
Компания "Доктор Веб" сообщает о росте количества пользователей, пострадавших от действия троянцев-шифровальщиков. Наибольшее распространение получила вредоносная программа Trojan.Encoder.94. Также весьма популярен Trojan.Encoder.225.
Поговорим подробнее о Trojan.Encoder.225, поскольку не так давно с ним пришлось столкнуться и на момент написания статьи против него никто ничего не может сделать. Распространение этой модификации началось 25-26.07.2013.
Троянцы семейства Trojan.Encoder представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку.
Шифровальщики чаще всего распространяются с использованием вредоносных спам-рассылок. Например, к вам на почту приходит письмо следующего содержания:
"От
Нина Киселева
Кому:
*****@*******.**
Заказ №340110825 (*****@*******.**)
1 файл, 833 КБ
Здравствуйте!
Ваш заказ №340110825 поступивший с адреса *****@*******.** будет обработан в течение 3 дней.
Еще раз убедитесь в правильности всех данных, чтобы впоследствии не возникло непредвиденных проблем.
Если какие-то данные введены неверно просим сообщить нам об этом.
--
С Уважением,
менеджер по работе с клиентами Киселева Нина"
И прикрепленный вордовский документ, содержащий эксплоит к CVE2012-0158:
Заказ №340110825 (*****@*******.**) .doc
Вроде бы безобидное письмо, но проверить что именно там заказано (вдруг ошиблись адресом) хочется. Вы, естественно, в недоумении скачиваете файл, открываете, а внутри может быть что угодно: вырезка из случайной статьи, "кусочек" новости с какого-нибудь сайта или постановление суда по какому-либо делу. Не важно что там будет - вирус уже внутри.
В момент открытия этого текстового файла, содержащего эксплоит к CVE2012-0158, вирус проникает на компьютер жертвы, используя уязвимость Microsoft Office. После начала действия вируса файлы "excel", "word", фотографии, архивы, базы данных 1С и даже музыка шифруются определенным весьма стойким методом (RC4 (модифицированный) + DES). Причем вконце имени каждого файла добавляется окончание "decryptyoufiles@yahoo.com_enc". Затем на рабочем столе или в корне локального диска "С" появляется файл "КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt" внутри которого текст, в моем случае он был следующим:
"Все ваши файлы *.doc,*.xls,*.pdf, базы данных и т.д. зашифрованы.
Стоимость дешифратора 5000 рублей. Чтобы купить дешифратор свяжитесь с нами по email:
decryptyoufiles@yahoo.com
В теме укажите ваш ID.
Если вы хотите удостовериться в том, что мы можем расшифровать ваши файлы, можете приложить любой файл и мы его расшифруем (базы данных для теста не расшифровываем!)----
ID:AADCDDED
----
Письма с угрозами и т.п. будут проигнорированы."
Что делать дальше? Как лечить вирус Trojan.Encoder.225?
Сам вирус после выполнения своей работы по шифровке файлов после перезагрузки компьютера, в моем случае, деактивировался. Понял я это, просканировав компьютер утилитой "AVZ" и CureIT, а так же пройдясь антивирусом Microsoft Security Essentials. Всё чисто. Ни единого следа вирусов в системе. В корне локального диска "С" осталось два файла с произвольными именами, например "08tBmQ91kkWObRvIRvAD.exe" и "2r3rer35y6uy4y23.exe". Судя по тому, что эти файлы, хоть и опознаны антивирем как чистые, были созданы в одно и то же время со всеми зашифрованными файлами, я сделал вывод, что эти исполняемые файлы лучше удалить. Кстати, зараженное письмо тоже не забываем стереть.
Далее, что НЕЛЬЗЯ делать:
- менять расширение у зашифрованных файлов;
- использовать самостоятельно сторонние программы для расшифровки/восстановления данных.
- Чистить или лечить машину чем либо: удалять/переименовывать какие-либо файлы, временные файлы и т.д.
Надо воспользоваться специально созданной утилитой te225decrypt.exe от компании "Доктор Веб".
Комментарий службы технической поддержки компании "Доктор Веб" к данной утилите:
"Расшифровка будет в автоматическом режиме, но будет довольно ресурсоемка. Утилита при запуске запросит указать один зашифрованный doc-файл (именно такого расширения, т.е. любой .doc.decryptyoufiles@yahoo.com_enc) для подбора ключа.
После этого автоматически начнется расчет ключей для расшифровки.
Расчет идет в две фазы. В статусной строке окна te225decrypt при этом отображается соответственно: "Подбор первого/второго ключа"
По имеющимся оценкам время подбора шифроключа в среднем составляет порядка 2-3 суток.
Как только ключи будет вычислены, утилита автоматически перейдет к расшифровке файлов на локальных дисках.
Потребуется свободное место, равное общему объему зашифрованных файлов (т.к. расшифровка идет в новые файлы; исходные зашифрованные *.decryptyoufiles@yahoo.com_encrypt останутся).
Когда убедитесь, что все файлы расшифрованы корректно, зашифрованные копии можно удалить."
Небольшая поправка: в моем случае при запуске этой утилиты было показано, что на первый ключ должно уйти 178 попыток(?), то есть надпись снизу "Подбор первого ключа (38/178). Ждите." и это по прошествии чуть более 2-х суток непрерывной работы на 2-х ядерном компьютере с 8Гб RAM. Получается, что на 1 попытку тратится около 1.3 часа. То есть не известно когда закончится подбор первого ключа, не говоря уже о втором ключе, про который люди вообще не дают никаких сведений.
Следуя информации, найденной в сети интернет от пользователей, закончивших расшифровку, у них на все этапы ушло около 7-ми дней. Причем встречается информация, что расшифровать удается далеко не все. Кто-то жалуется, что расшифровано примерно четверть всей информации, остальные файлы не открываются. Или пишут еще, что при расшифровке фотографий, при их открытии видны лишь 5% фото сверху (небо, потолок и т.д.), остальная часть - черный фон. Но здесь так же следует учесть, что многие кто расшифровывал свои фалы, попросту путают два разных вируса. Например, похожим способом расшифровываются фалы после вируса Trojan.Encoder.205. Возможно все вышеперечисленные "результаты" как раз таки относятся к другому вирусу.
В любом случае доподлинно еще ни от кого не слышал, что удалось расшифровать файлы после вируса Trojan.Encoder.225.
Примечательно так же и то, что кроме "Доктор Вэб", еще ни одна крупная антивирусная компания не смогла найти решения по расшифровке файлов после Trojan.Encoder.225, хотя прошло уже 12 дней с момента его обнаружения.
Однако и "Доктор Вэб" на своем официальном форуме в теме, посвященной данному вирусу, не смог окончательно объявить о победе над данной проблемой. Так, пользователь v.martyanov, специалист компании "Доктор Вэб" из группы Virus Analysts, разместил крайний пост (05.08.2013г. в 16:05) следующего содержания:
"Найдена проблема с расшифровкой. Будет исправлена."
Но никто не берется устанавливать хоть каких-то реальных сроков по решению данной проблемы. А между тем, очередным пользователям вновь приходят письма с заманчивым содержанием...
Что ж... пожелаем удачи всем антивирусным лабораториям в поисках антидота к этой "заразе".
ПРОДОЛЖЕНИЕ СТАТЬИ ЧИТАТЬ ТУТ.
Вступайте в нашу группу вконтакте, и следите за всеми актуальными новостями.