Форум SoftWeb.ru

Форум SoftWeb.ru (https://softweb.ru/index.php)
-   Вирусы и шпионы (https://softweb.ru/forumdisplay.php?f=295)
-   -   Вирус зашифровал файлы - борьба с вирусами семейства Trojan.Encoder (https://softweb.ru/showthread.php?t=42160)

ЦОЙ 20.04.2014 02:44
Вирус зашифровал файлы - борьба с вирусами семейства Trojan.Encoder
 
Не у меня это случилось :)
Но появился повод исследовать этот вопрос.
Имею зашифрованный файл картинки. формат .jpg
нет самого вируса, что не мало важно для расшифровки, но расшифровать в читаемый вид получилось.
статья для изучения [Ссылки могут видеть только зарегистрированные пользователи. ]
Тема в этой статье - Борьба с вирусами семейства Trojan.Encoder (вирусы-
шифровальщики)

ссылки в статье не работают, привожу новые
К зашифрованным файлам добавилось одно из расширений: .icq550946977, .pizdec, .GpCODE, .а. Указывает на вирус Trojan.Encoder.94.
[Ссылки могут видеть только зарегистрированные пользователи. ]
---------------------------------------------------------------------
К зашифрованным файлам добавилось одно из расширений: .korrektor, .exe, .bloc, .gggg, .diablo, .cool, .vhd, .mmm, .kis, .mis, .web. Любое из них могут иметь файлы, зашифрованные Trojan.Encoder.71.
[Ссылки могут видеть только зарегистрированные пользователи. ]
------------------------------------------------------------------
К зашифрованным файлам добавилось расширение .Crypted. Результат деятельности Trojan.Encoder.91.
[Ссылки могут видеть только зарегистрированные пользователи. ]
---------------------------------------------------------------------
Расширение файлов не меняется, на рабочем столе появляется сообщение с требованием оплаты и данными для платежа. Также в конец зашифрованных файлов добавились строки вида: "B3E36CB6475B5EB08D9507E09A0978880C28E1E3F6497 B93C 945738DB5D7B31DC2BDBFDF14E797DC". Этим отличается Trojan.Encoder.102.
[Ссылки могут видеть только зарегистрированные пользователи. ]
------------------------------------------------------------------
для запароленых архивов
[Ссылки могут видеть только зарегистрированные пользователи. ]


что делал дальше:

в одну папку положил шифрованный файл и te94decrypt.exe
затем в этой папке создал текстовый документ с таким содержанием
Код:
te94decrypt.exe -k 326 abstract-black-4.jpg.a
и сохранил его как 1.bat
получаем на выходе пакетный файл. запускаем его, появляется окно лицензионного соглашения. жмем принять. утилита уведомляет, что не найден файл pass. жмем ок и утилита создает множество вариантов расшифровки (в моем случае было около 500 штук). потом всем этим вариантам меняем расширение ( в данном случае на файл.jpg) и среди кучи эскизов находим свой. он будет нормально отображаться в проводнике. как картинка
для переименовывания писал скрипт. так как вручную слишком жмучно :)


Часовой пояс GMT +3, время: 16:14.

Работает на vBulletin® версия 3.8.12 by vBS.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Перевод: zCarot