Утром 26-го января была перехвачена новая модификация вредоносной программы GPCode, которая получила индекс .ac.
Данная вредоносная программа шифрует пользовательские файлы, что дает возможность создавшему злоумышленнику вымогать у пострадавших денежные средства.
Вредоносная программа была широко распространена по российскому сегменту сети интернет с помощью спам-рассылки. Несмотря на наши многочисленные предупреждения не запускать вложения от неизвестных отправителей, пострадало большое количество пользователей.
Со вчерашнего дня (с 27 января) в антивирусных обновлениях доступна процедура восстановления зашифрованных файлов. Т.е все обратившиеся пользователи могут восстановить свои данные. Исключение могут составлять лишь некоторые пострадавшие, которые к нам не обращались за помощью и не передавали ключи криптования. Если такие еще есть, то после их обращения в ЛК расшифровка будет оперативно добавлена в антивирусные обновления.
В заключение хотелось бы напомнить, что финансирование злоумышленника мотивирует его на создание новых версий этой вредоносной программы.
Добавлено в [time]1138607211[/time]
Компания "Доктор Веб" засекла опасный троян-шифровальщик
Для помощи пострадавшим специалисты компании "Доктор Веб" разработали специальную дешифрующую программу, работающую из командной строки. Программа распространяется бесплатно, скачать ее можно отсюда (исполняемый файл, 68 кб). Для расшифровки отдельного файла нужно указать его имя в качестве ключа запуска утилиты. Для восстановления большого числа файлов рекомендуется написать командный файл.
Краткое описание Trojan.Encoder:
Троянская программа приходит на компьютеры потенциальных жертв по электронной почте в виде вложения к электронному письму.
После запуска вложения пользователем троянская программа активизируется на компьютере – жертве и записывает свою копию под именем Filename.exe в системную директорию.
Создает ключ реестра, для автоматического запуска своей копии в качестве сервиса операционной системы:
После запуска своей копии, троянская программа сканирует локальные диски компьютера – жертвы находя файлы со следующими расширениями:
Шифрует все найденные файлы, с таким расширением используя алгоритм RSA.
Размещает на жестком диске файлы с readme.txt следующего содержания:
Дешифровка файлов:
Специалисты службы антивирусного мониторинга антивирусной программы Dr. Web ® разработали утилиту позволяющую расшифровать пораженные файлы и вернуть их в прежнее состояние. Утилита доступна на сайте по протоколам FTP или :HTTP, утилита распространяется бесплатно.
Для расшифровки необходимо запустить данную утилиту со следующими параметрами:
te_decrypt.exe имя_файла_который_требуется_дешифровать
(Вы можете запустить утилиту с помощью пункта «Выполнить» из меню «Пуск» вашей операционной системы)
Обращаем внимание, что дешифрованный с помощью этой утилиты файл будет иметь первоначальное имя с добавленным к нему расширением .decr.
Если на компьютере – жертве зашифровано большое количество файлов, можно использовать утилиту дешифровки вместе с bat файлом следующего содержания:
Принцип работы данного bat файла:
Первая строчка запускает сканирование из текущего каталога по всем его подкаталогам с вызовом декриптора для всех файлов;
Вторая строчка запускает сканирование и переписывает все найденные файлы с именами вида "имя_файла.decr" в файлы "имя_файла"
Данная вредоносная программа шифрует пользовательские файлы, что дает возможность создавшему злоумышленнику вымогать у пострадавших денежные средства.
Вредоносная программа была широко распространена по российскому сегменту сети интернет с помощью спам-рассылки. Несмотря на наши многочисленные предупреждения не запускать вложения от неизвестных отправителей, пострадало большое количество пользователей.
Со вчерашнего дня (с 27 января) в антивирусных обновлениях доступна процедура восстановления зашифрованных файлов. Т.е все обратившиеся пользователи могут восстановить свои данные. Исключение могут составлять лишь некоторые пострадавшие, которые к нам не обращались за помощью и не передавали ключи криптования. Если такие еще есть, то после их обращения в ЛК расшифровка будет оперативно добавлена в антивирусные обновления.
В заключение хотелось бы напомнить, что финансирование злоумышленника мотивирует его на создание новых версий этой вредоносной программы.
Добавлено в [time]1138607211[/time]
Компания "Доктор Веб" засекла опасный троян-шифровальщик
Для помощи пострадавшим специалисты компании "Доктор Веб" разработали специальную дешифрующую программу, работающую из командной строки. Программа распространяется бесплатно, скачать ее можно отсюда (исполняемый файл, 68 кб). Для расшифровки отдельного файла нужно указать его имя в качестве ключа запуска утилиты. Для восстановления большого числа файлов рекомендуется написать командный файл.
Краткое описание Trojan.Encoder:
Троянская программа приходит на компьютеры потенциальных жертв по электронной почте в виде вложения к электронному письму.
После запуска вложения пользователем троянская программа активизируется на компьютере – жертве и записывает свою копию под именем Filename.exe в системную директорию.
Создает ключ реестра, для автоматического запуска своей копии в качестве сервиса операционной системы:
Код:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
services = Filename.exeПосле запуска своей копии, троянская программа сканирует локальные диски компьютера – жертвы находя файлы со следующими расширениями:
Код:
"rtf" ,"txt" ,"pdf" ,"csv" ,"frm" ,"css" ,"xls" ,
"mdb" ,"dbf" ,"dbt" ,"db" ,"safe" ,"flb" ,"pst" ,"pwl" ,"pwa" ,"pak" ,"rar" ,
"zip" ,"arj" ,"gz" ,"tar" ,"sar" ,"htm" ,"html" ,"cgi" ,"pl" ,"kwm" ,"pwm" ,
"cdr" ,"dbx" ,"mmf" ,"tbb" ,"xml " ,"frt" ,"frx" ,"gtd" ,"rmr" ,"chm" ,"mo" ,
"man" ,"c" ,"cpp" ,"h" ,"pgp" ,"gzip" ,"lst" ,"pfx" ,"p12" ,"db1" ,"db2" ,
"cnt" ,"sig" ,"css" ,"arh" ,"pem" ,"key" ,"prf" ,"old" ,"rnd" ,"prx"Шифрует все найденные файлы, с таким расширением используя алгоритм RSA.
Размещает на жестком диске файлы с readme.txt следующего содержания:
Код:
Some files are coded by RSA method.
To buy decoder mail: ********34@rambler.ru
with subject: RSA 5 68243170728578411Дешифровка файлов:
Специалисты службы антивирусного мониторинга антивирусной программы Dr. Web ® разработали утилиту позволяющую расшифровать пораженные файлы и вернуть их в прежнее состояние. Утилита доступна на сайте по протоколам FTP или :HTTP, утилита распространяется бесплатно.
Для расшифровки необходимо запустить данную утилиту со следующими параметрами:
te_decrypt.exe имя_файла_который_требуется_дешифровать
(Вы можете запустить утилиту с помощью пункта «Выполнить» из меню «Пуск» вашей операционной системы)
Обращаем внимание, что дешифрованный с помощью этой утилиты файл будет иметь первоначальное имя с добавленным к нему расширением .decr.
Если на компьютере – жертве зашифровано большое количество файлов, можно использовать утилиту дешифровки вместе с bat файлом следующего содержания:
Код:
---- begin "decrypt.bat" ----
for /R %%f in (*.*) do te_decrypt.exe "%%f"
for /R %%i in (*.decr) do move "%%i" "%%~dpni"
---- end "decrypt.bat" ----Принцип работы данного bat файла:
Первая строчка запускает сканирование из текущего каталога по всем его подкаталогам с вызовом декриптора для всех файлов;
Вторая строчка запускает сканирование и переписывает все найденные файлы с именами вида "имя_файла.decr" в файлы "имя_файла"