[TIFLO] Пересылка. срочно. обьявление. новый троян.
Виртуальный клуб общения "Калейдоскоп".
здравствуйте друзья. сегодня что-то прямо день какой то вирусный чтоли. вот
на
одном из софтовых сайтов нашел такую загагулину. помоему достойно внимания.
Trojan.Encoder
В Сети появился вирус-троян Trojan.Encoder, который зашифровывает многие
типы
файлов. В Службу вирусного мониторинга компании "Доктор Веб" поступили
обращения
от пользователей, файлы документов которых оказались закодированы
неизвестным
вирусом. Кроме зашифрованных и поэтому недоступных для прочтения файлов все
жертвы вируса обнаружили на своих дисках многочисленные копии файла
readme.txt.
Троянская программа попадает на компьютеры своих жертв по электронной почте
и прописывает себя в реестр. Троянец шифрует более 60 типов файлов с помощью
алгоритма RSA. В дальнейшем автор вируса требует со своих жертв деньги за
дешифровку. Свой адрес шантажист сообщает в файле readme.txt. Специалисты
компании
"Доктор Веб" разработали специальную дешифрующую программу te_decrypt.exe,
позволяющую вернуть все пораженные троянцем файлы документов в
первоначальное
состояние. Программу нужно запустить из командной строки с параметрами:
te_decrypt.exe
имя_файла_который_требуется_дешифровать.
а вот и информация о троянце с сайта доктора веба
www.drweb.ru
Trojan.Encoder - не поддавайтесь кибер-шантажу. <Доктор Веб> всегда придет
Вам
на помощь.
27 января 2006 года
За последние сутки в Службу вирусного мониторинга компании <Доктор Веб>
поступило
несколько обращений от пользователей, файлы документов которых оказались
закодированы неизвестным вирусом. Кроме зашифрованных и поэтому недоступных
для
прочтения файлов все жертвы вируса обнаружили на своих дисках многочисленные
копии файла readme.txt, в котором содержалось сообщение о том, что файлы
пользователя
зашифрованы и предлагалось обратиться с письмом на указанный адрес
электронной почты для расшифровки файлов.
В этой связи компания <Доктор Веб> информирует своих пользователей, что в
данном
случае речь идет о поражении системы троянской программой, которая
детектируется
антивирусным ядром Dr.Web как Trojan.Encoder (добавлен в вирусную базу 26
января
2006 года). Троянская программа попадает на компьютеры своих жертв по
электронной почте и прописывает себя в ключ реестра
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
services = Filename.exe
Троянец активируется, используя уязвимость операционной системы. Поселившись
на компьютере жертвы, программа ищет файлы со следующими расширениями:
"rtf" ,"txt" ,"pdf" ,"csv" ,"frm" ,"css" ,"xls" ,
"mdb" ,"dbf" ,"dbt" ,"db" ,"safe" ,"flb" ,"pst" ,"pwl" ,"pwa" ,"pak" ,"rar"
,
"zip" ,"arj" ,"gz" ,"tar" ,"sar" ,"htm" ,"html" ,"cgi" ,"pl" ,"kwm" ,"pwm" ,
"cdr" ,"dbx" ,"mmf" ,"tbb" ,"xml " ,"frt" ,"frx" ,"gtd" ,"rmr" ,"chm" ,"mo"
,
"man" ,"c" ,"cpp" ,"h" ,"pgp" ,"gzip" ,"lst" ,"pfx" ,"p12" ,"db1" ,"db2" ,
"cnt" ,"sig" ,"css" ,"arh" ,"pem" ,"key" ,"prf" ,"old" ,"rnd" ,"prx"
и шифрует их с помощью алгоритма RSA. В дальнейшем автор вируса требует со
своих
жертв деньги за дешифровку. Свой адрес шантажист сообщает в файле readme.txt
Some files are coded by RSA method.
To buy decoder mail:
********34@r*****.ru
with subject: RSA 5 68243170728578411
Специалисты антивирусной лаборатории компании <Доктор Веб> оперативно
разработали
специальную дешифрующую программу, позволяющую вернуть все пораженные
троянцем файлы документов в первоначальное состояние. Мы предлагаем всем,
кто
столкнулся с вышеуказанной проблемой, обращаться в
Службу технической поддержки компании <Доктор Веб> -
Вам помогут совершенно бесплатно!
Если у вас не очень много пораженных троянцем файлов, Вы можете их
дешифровать
прямо на нашем сервере. Для этого Вам надо
загрузить сюда
зашифрованный файл.
Вы также можете сами воспользоваться этой программой, скачав ее с
с нашего FTP сервера.
Параметры командной строки:
te_decrypt.exe имя_файла_который_требуется_дешифровать
Обращаем внимание, что дешифрованный с помощью этой утилиты файл будет иметь
первоначальное имя с добавленным к нему расширением .decr.
вот ссылка по которой можно скачать программку для дешифровки зашифрованных
файлов.
ftp://ftp.drweb.com/pub/drweb/windows/te_decrypt.exe
должен сказать что на сайте лаборатории касперского ничего об этом трояне
найти
не удалось. не исключаю правда что у меня кривые руки и в вышеуказанной
лаборатории
уже предприняли все меры и мне просто не удалось об этом ничего найти.
Выпуск номер: 5792
Выпуск листа на новом месте: 1717
