Форум SoftWeb.ru - Показать сообщение отдельно - Вирус зашифровал файлы - борьба с вирусами семейства Trojan.Encoder

ЦОЙ · 20.04.2014, 02:44

Не у меня это случилось

Но появился повод исследовать этот вопрос.
Имею зашифрованный файл картинки. формат .jpg
нет самого вируса, что не мало важно для расшифровки, но расшифровать в читаемый вид получилось.
статья для изучения [Ссылки могут видеть только зарегистрированные пользователи. ]
Тема в этой статье - Борьба с вирусами семейства Trojan.Encoder (вирусы-
шифровальщики)

ссылки в статье не работают, привожу новые
К зашифрованным файлам добавилось одно из расширений: .icq550946977, .pizdec, .GpCODE, .а. Указывает на вирус Trojan.Encoder.94.
[Ссылки могут видеть только зарегистрированные пользователи. ]
---------------------------------------------------------------------
К зашифрованным файлам добавилось одно из расширений: .korrektor, .exe, .bloc, .gggg, .diablo, .cool, .vhd, .mmm, .kis, .mis, .web. Любое из них могут иметь файлы, зашифрованные Trojan.Encoder.71.
[Ссылки могут видеть только зарегистрированные пользователи. ]
------------------------------------------------------------------
К зашифрованным файлам добавилось расширение .Crypted. Результат деятельности Trojan.Encoder.91.
[Ссылки могут видеть только зарегистрированные пользователи. ]
---------------------------------------------------------------------
Расширение файлов не меняется, на рабочем столе появляется сообщение с требованием оплаты и данными для платежа. Также в конец зашифрованных файлов добавились строки вида: "B3E36CB6475B5EB08D9507E09A0978880C28E1E3F6497 B93C 945738DB5D7B31DC2BDBFDF14E797DC". Этим отличается Trojan.Encoder.102.
[Ссылки могут видеть только зарегистрированные пользователи. ]
------------------------------------------------------------------
для запароленых архивов
[Ссылки могут видеть только зарегистрированные пользователи. ]

что делал дальше:

в одну папку положил шифрованный файл и te94decrypt.exe
затем в этой папке создал текстовый документ с таким содержанием

Код:

te94decrypt.exe -k 326 abstract-black-4.jpg.a

и сохранил его как 1.bat
получаем на выходе пакетный файл. запускаем его, появляется окно лицензионного соглашения. жмем принять. утилита уведомляет, что не найден файл pass. жмем ок и утилита создает множество вариантов расшифровки (в моем случае было около 500 штук). потом всем этим вариантам меняем расширение ( в данном случае на файл.jpg) и среди кучи эскизов находим свой. он будет нормально отображаться в проводнике. как картинка
для переименовывания писал скрипт. так как вручную слишком жмучно

20.04.2014, 02:44	#1
ЦОЙ Статус: Маршал Регистрация: 11.10.2007 Адрес: Краснодар Сообщений: 4,066 СПАСИБО: 1,376 сказали Спасибо 2,665 раз(а) в 1,710 сообщении	Вирус зашифровал файлы - борьба с вирусами семейства Trojan.Encoder Не у меня это случилось Но появился повод исследовать этот вопрос. Имею зашифрованный файл картинки. формат .jpg нет самого вируса, что не мало важно для расшифровки, но расшифровать в читаемый вид получилось. статья для изучения [Ссылки могут видеть только зарегистрированные пользователи. ] Тема в этой статье - Борьба с вирусами семейства Trojan.Encoder (вирусы- шифровальщики) ссылки в статье не работают, привожу новые К зашифрованным файлам добавилось одно из расширений: .icq550946977, .pizdec, .GpCODE, .а. Указывает на вирус Trojan.Encoder.94. [Ссылки могут видеть только зарегистрированные пользователи. ] --------------------------------------------------------------------- К зашифрованным файлам добавилось одно из расширений: .korrektor, .exe, .bloc, .gggg, .diablo, .cool, .vhd, .mmm, .kis, .mis, .web. Любое из них могут иметь файлы, зашифрованные Trojan.Encoder.71. [Ссылки могут видеть только зарегистрированные пользователи. ] ------------------------------------------------------------------ К зашифрованным файлам добавилось расширение .Crypted. Результат деятельности Trojan.Encoder.91. [Ссылки могут видеть только зарегистрированные пользователи. ] --------------------------------------------------------------------- Расширение файлов не меняется, на рабочем столе появляется сообщение с требованием оплаты и данными для платежа. Также в конец зашифрованных файлов добавились строки вида: "B3E36CB6475B5EB08D9507E09A0978880C28E1E3F6497 B93C 945738DB5D7B31DC2BDBFDF14E797DC". Этим отличается Trojan.Encoder.102. [Ссылки могут видеть только зарегистрированные пользователи. ] ------------------------------------------------------------------ для запароленых архивов [Ссылки могут видеть только зарегистрированные пользователи. ] что делал дальше: в одну папку положил шифрованный файл и te94decrypt.exe затем в этой папке создал текстовый документ с таким содержанием Код: te94decrypt.exe -k 326 abstract-black-4.jpg.a и сохранил его как 1.bat получаем на выходе пакетный файл. запускаем его, появляется окно лицензионного соглашения. жмем принять. утилита уведомляет, что не найден файл pass. жмем ок и утилита создает множество вариантов расшифровки (в моем случае было около 500 штук). потом всем этим вариантам меняем расширение ( в данном случае на файл.jpg) и среди кучи эскизов находим свой. он будет нормально отображаться в проводнике. как картинка для переименовывания писал скрипт. так как вручную слишком жмучно дождь не может идти вечно... Последний раз редактировалось ЦОЙ; 20.04.2014 в 13:04.
	ЦИТИРОВАТЬ

Объявление
Нам нужна Ваша поддержка. Сбор средств на оплату дата-центра.