Троянский конь - Trojan.Encoder. Описание троянского коня и программа дешифровки файлов.
Службой технической поддержки Dr. Web® зафиксированы многочисленные случаи заражений новой троянской программой шифрующей документы на компьютерах пользователей. Данная троянская программа определяется средствами антивирусного пакета Dr. Web ® как Trojan.Encoder. Запись о данном вредоносном коде внесена в антивирусную базу Dr. Web ®, 26 января 2006 года.
Краткое описание Trojan.Encoder:
Троянская программа приходит на компьютеры потенциальных жертв по электронной почте, в виде вложения к электронному письму.
После запуска вложения пользователем троянская программа активизируется на компьютере – жертве и записывает свою копию под именем Filename.exe в системную директорию.
Создает ключ реестра, для автоматического запуска своей копии в качестве сервиса операционной системы:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
services = Filename.exe
После запуска своей копии, троянская программа сканирует локальные диски компьютера – жертвы находя файлы со следующими расширениями:
"rtf" ,"txt" ,"pdf" ,"csv" ,"frm" ,"css" ,"xls" ,
"mdb" ,"dbf" ,"dbt" ,"db" ,"safe" ,"flb" ,"pst" ,"pwl" ,"pwa" ,"pak" ,"rar" ,
"zip" ,"arj" ,"gz" ,"tar" ,"sar" ,"htm" ,"html" ,"cgi" ,"pl" ,"kwm" ,"pwm" ,
"cdr" ,"dbx" ,"mmf" ,"tbb" ,"xml " ,"frt" ,"frx" ,"gtd" ,"rmr" ,"chm" ,"mo" ,
"man" ,"c" ,"cpp" ,"h" ,"pgp" ,"gzip" ,"lst" ,"pfx" ,"p12" ,"db1" ,"db2" ,
"cnt" ,"sig" ,"css" ,"arh" ,"pem" ,"key" ,"prf" ,"old" ,"rnd" ,"prx"
Шифрует все найденные файлы, с таким расширением используя алгоритм RSA.
Размещает на жестком диске файлы с readme.txt следующего содержания:
Some files are coded by RSA method.
To buy decoder mail: ********34@rambler.ru
with subject: RSA 5 68243170728578411
Дешифровка файлов:
Специалисты службы антивирусного мониторинга антивирусной программы Dr. Web ® разработали утилиту позволяющую расшифровать пораженные файлы и вернуть их в прежнее состояние.
Для расшифровки необходимо запустить данную утилиту со следующими параметрами:
te_decrypt.exe имя_файла_который_требуетс _дешифровать
(Вы можете запустить утилиту с помощью пункта «Выполнить» из меню «Пуск» вашей операционной системы)
Обращаем внимание, что дешифрованный с помощью этой утилиты файл будет иметь первоначальное имя с добавленным к нему расширением .decr.
Если на компьютере – жертве зашифровано большое количество файлов, можно использовать утилиту дешифровки вместе с bat файлом следующего содержания:
---- begin "decrypt.bat" ----
for /R %%f in (*.*) do te_decrypt.exe "%%f"
for /R %%i in (*.decr) do move "%%i" "%%~dpni"
---- end "decrypt.bat" ----
Принцип работы данного bat файла:
Первая строчка запускает сканирование из текущего каталога по всем его подкаталогам с вызовом декриптора для всех файлов;
Вторая строчка запускает сканирование и переписывает все найденные файлы с именами вида "имя_файла.decr" в файлы "имя_файла"
Ваши права
