В новостях «ВНИМАТЕЛЬНО.
Вирус-вымогатель Trojan.Encoder.225» Я уже подробно рассказывал об одном конкретном вирусе Trojan.Encoder.225, но решения по расшифровке на тот момент я не получил.
Но позже (более чем через 3 недели после начала расшифровки) ситуация изменилась в лучшую сторону.
За этот период я успешно расшифровал данные сразу после двух вирусов Trojan.Encoder.225 и Trojan.Encoder.263 на разных ПК.
Напомним: Трояны семейства Trojan.Encoder — вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку.
Файлы могут быть *.
mp3, *.
doc, *.
docx, *.
pdf, *.
jpg, *.
rar и т. д. Лично встретиться со всем семейством этого вируса не удалось, но, как показывает практика, способ заражения, лечения и расшифровки у всех примерно одинаков: 1. жертва заражается через спам-письмо с вложением (реже инфекционным путем), 2. вирус распознается и удаляется (уже) практически любым антивирусом со свежими базами, 3. файлы расшифровываются путем подбора ключей-паролей для используемых типов шифрования.
Например, Trojan.Encoder.225 использует шифрование RC4 (модифицированное) + DES, а Trojan.Encoder.263 использует BlowFish в режиме CTR. Эти вирусы в настоящее время расшифровываются на 99% на основе личной практики.
Но не все так гладко.
Некоторые вирусы-шифровальщики требуют месяцев непрерывной расшифровки (Trojan.Encoder.102), а другие (Trojan.Encoder.283) не могут быть корректно расшифрованы даже специалистами компании «Доктор Веб», что, собственно, и играет ключевую роль в данной статье.
Теперь по порядку.
В начале августа 2013 года ко мне обратились клиенты с проблемой файлов, зашифрованных вирусом Trojan.Encoder.225. Вирус на тот момент был новый, никто ничего не знал, в интернете было 2-3 тематические ссылки Google. После длительных поисков в Интернете выясняется, что единственной (найденной) организацией, которая занимается проблемой расшифровки файлов после этого вируса, является компания «Доктор Веб».
А именно: дает рекомендации, помогает при обращении в техподдержку, разрабатывает собственные расшифровщики и т.д. Негативное отступление.
И, пользуясь случаем, я хотел бы отметить два потолстеть минус Лаборатории Касперского.
На что при обращении в их техподдержку они отмахиваются «мы работаем над этим вопросом, о результатах сообщим вам на почту».
И все же, минусом является то, что я так и не получил ответа на запрос.
Через 4 мес.
К черту время реакции.
И здесь я стремлюсь к стандарту «не более часа с момента оформления заявки».
Как вам не стыдно, товарищ Евгений Касперский , генеральный директор «Лаборатории Касперского».
Но у меня на нем «сидит» добрая половина всех компаний.
Ну да ладно, лицензии истекают в январе-марте 2014 года.
Стоит ли говорить о том, буду ли я продлевать лицензию? ;) Я представляю лица «специалистов» из «более простых» компаний, так сказать, НЕ гигантов антивирусной индустрии.
Вероятно, они просто «забились в угол» и «тихо плакали».
Хотя, более того, облажались абсолютно все.
Антивирус в принципе не должен был допустить попадания этого вируса на компьютер.
Особенно учитывая современные технологии.
А у «у них», ГИГАНТОВ антивирусной индустрии, якобы всё прикрыто, «эвристический анализ», «упреждающая система», «проактивная защита»… ГДЕ БЫЛИ ВСЕ СУПЕРСИСТЕМЫ, КОГДА РАБОТНИК ОТДЕЛА ПЕРСОНАЛОВ ОТКРЫЛ «ХАЛМОНЕСТ» ПИСЬМО С ТЕМОЙ «РЕЗЮМЕ»??? Что должен был подумать сотрудник? Если ВЫ не можете нас защитить, то зачем вообще ВЫ нам нужны? И всё бы ничего с «Доктор Веб», но чтобы получить помощь, нужно, конечно, иметь лицензию на любой их программный продукт. При обращении в техподдержку (далее ТС) необходимо сообщить серийный номер Dr.Web и не забыть в строке «Категория запроса:» выбрать «запрос на лечение» или просто предоставить им зашифрованный файл на адрес электронной почты.
лаборатория.
Сразу оговорюсь, что так называемые «ключи журнала» Dr.Web, которые пачками выкладываются в Интернете, не подходят, так как не подтверждают покупку каких-либо программных продуктов и удаляются путем Специалисты ТП один-два раза.
Проще купить самую «дешевую» лицензию.
Потому что если вы возьметесь за расшифровку, эта лицензия окупит вас в миллион раз.
Особенно если папка с фотографиями «Египет 2012» была в одном экземпляре.
Попытка №1 Итак, купив «лицензию на 2 ПК на год» за n-ную сумму денег, обратившись в ТП и предоставив некоторые файлы, я получил ссылку на утилиту расшифровки te225decrypt.exe версии 1.3.0.0. Предвкушая успех, запускаю утилиту (нужно указать ей один из зашифрованных файлов *.
doc).
Утилита начинает выбор, нещадно загружая старый процессор E5300 DualCore, 2600 МГц (разогнан до 3,46 ГГц)/8192 МБ DDR2-800, HDD 160Gb Western Digital до 90-100%.
Здесь параллельно со мной в работу включается коллега на ПК core i5 2500k (разогнан до 4.5ghz)/16 ram 1600/ssd intel (это для сравнения затраченного времени в конце статьи).
Через 6 дней утилита сообщила, что расшифровано 7277 файлов.
Но счастье длилось недолго.
Все файлы были расшифрованы «криво».
То есть, например, документы Microsoft Office открываются, но с различными ошибками: «Приложение Word обнаружило в документе *.
docx содержимое, которое невозможно прочитать» или «Файл *.
docx не может быть открыт из-за ошибок в его содержимом».
».
Файлы *.
jpg тоже открываются либо с ошибкой, либо 95% изображения оказывается блеклым черным или светло-зеленым фоном.
Для файлов *.
rar - «Неожиданный конец архива».
В общем полный провал.
Попытка №2 Пишем в ТП о результатах.
Просят предоставить пару файлов.
Через день снова дают ссылку на утилиту te225decrypt.exe, но на этот раз версии 1.3.2.0. Ну давайте запускать, альтернативы тогда все равно не было.
Проходит около 6 дней и утилита завершает работу с ошибкой «Невозможно выбрать параметры шифрования».
Итого 13 дней «на ветер».
Но мы не сдаемся, у нас есть важные документы от нашего *глупого* клиента без базовых резервных копий.
Попытка №3 Пишем в ТП о результатах.
Просят предоставить пару файлов.
И, как вы уже догадались, через день дают ссылку на ту же утилиту te225decrypt.exe, но версии 1.4.2.0. Ну что ж, запустим, альтернативы не было и не появилось ни у Лаборатории Касперского, ни у ESET NOD32, ни у других производителей антивирусных решений.
И вот спустя 5 дней 3 часа 14 минут (123,5 часа) утилита сообщает, что файлы расшифрованы (у коллеги на core i5 расшифровка заняла всего 21 час 10 минут).
Ну, я думаю, было или не было.
И о чудо: полный успех! Все файлы расшифрованы корректно.
Все открывается, закрывается, смотрит, редактирует и сохраняет нормально.
Все счастливы, КОНЕЦ.
«А где история про вирус Trojan.Encoder.263Э» — спросите вы.
А на соседнем ПК, под столом.
было.
Там все было проще: Пишем в ТП «Доктор Веб», достаем утилиту te263decrypt.exe, запускаем, ждем 6,5 дней, вуаля! и все готово.
Подводя итог, могу дать несколько советов с форума «Доктор Веб» в моей редакции: Что делать, если вы заражены вирусом-вымогателем: — отправить в вирусную лабораторию Доктор Веб или в форме «Отправить подозрительный файл» зашифрованный doc-файл.
— Дождитесь ответа сотрудника Dr.Web и далее следуйте его инструкциям.
Чего не делать: — изменить расширение зашифрованных файлов; В противном случае при удачно подобранном ключе утилита просто «не увидит» файлы, которые необходимо расшифровать.
— использовать самостоятельно, без консультации специалистов, любые программы для расшифровки/восстановления данных.
Внимание, имея свободный от других задач сервер, предлагаю свои бесплатные услуги по расшифровке ВАШИХ данных.
Серверное ядро i7-3770K с разгоном до *определённых частот*, 16Гб ОЗУ и SSD Vertex 4. Для всех активных пользователей Хабра использование моих ресурсов будет БЕСПЛАТНЫМ!!! Напишите мне в личное сообщение или через другие контакты.
Я уже «съел собаку» по этому поводу.
Поэтому я не поленюсь поставить сервер на расшифровку на ночь.
Этот вирус — «бич» нашего времени и брать «награбленное» у однополчан негуманно.
Хотя, если кто-то «кинет» пару баксов на мой счет в Яндекс.
деньгах 410011278501419, я не буду против.
Но это вовсе не обязательно.
Связаться с нами.
Заявки обрабатываю в свободное время.
Новая информация! С 8 декабря 2013 года стал распространяться новый вирус из той же серии Trojan.Encoder по классификации компании «Доктор Веб» — Trojan.Encoder.263, но с RSA-шифрованием.
Это мнение на сегодняшний день (20.12.2013) невозможно расшифровать , поскольку он использует очень надежный метод шифрования.
Рекомендую всем, кто пострадал от этого вируса: 1. С помощью встроенного поиска Windows найдите все файлы, содержащие расширение .
perfect, и скопируйте их на внешний носитель.
2. Также скопируйте файл CONTACT.txt. 3. Положите этот внешний носитель «на полку».
4. Дождитесь появления утилиты дешифратора.
Чего не делать: Не надо связываться с преступниками.
Это глупо.
В более чем 50% случаев после «оплаты» примерно 5000 рублей вы НИЧЕГО не получите.
Нет денег, нет расшифровщика.
Справедливости ради стоит отметить, что в Интернете есть те «счастливчики», которые получили свои файлы обратно путем расшифровки за «бабл».
Но не стоит доверять этим людям.
Если бы я был вирусописателем, то первым делом я бы распространил информацию типа «Я заплатил, и мне прислали декодер!!!» За этими «счастливчиками» могут стоять такие же злоумышленники.
Что ж.
пожелаем удачи другим антивирусным компаниям в создании утилиты для расшифровки файлов после группы вирусов Trojan.Encoder. Особая благодарность товарищу В.
Мартьянову с форума Доктор Веб за проделанную работу по созданию утилит расшифровки.
Теги: #Антивирусная защита #Восстановление данных #вирус-шифратор #[email protected]_enc #[email protected] #[email protected] #[email protected] #Trojan.Encoder.225 #Trojan .
Encoder.263 #te225decrypt #HOW_DENCRYPT_FILES #как расшифровать файлы #удаление вирусов #decryptor #decryptor #.
locked #зашифрованные файлы #[email protected]
-
Отмена Старения С Майклом Гревом
19 Oct, 24 -
Тип Темперамента. Кто Ты?
19 Oct, 24 -
Технологии Работы С Блогерами
19 Oct, 24
