25 ноября 2014 года

Компания «Доктор Веб» сообщает об успешном создании алгоритма расшифровки файлов, пострадавших от действия троянца-шифровальщика Trojan.Encoder.398. Благодаря разработанному в ходе исследовательских работ инструментарию теперь полное восстановление данных, зашифрованных одной из модификаций этого опасного троянца, возможно примерно в 90% случаев. На сегодняшний день разработчик антивирусов Dr.Web является единственной компанией, способной расшифровать такие файлы.

Троянец-шифровальщик Trojan.Encoder.398 написан на языке Delphi и по ряду признаков представляет собой усовершенствованную версию вредоносной программы Trojan.Encoder.225. Ключи для шифрования файлов пользователя Trojan.Encoder.398 получает с сервера злоумышленников. Запустившись на атакуемом компьютере, троянец копирует себя в одну из системных папок с именем ID.exe, где ID — серийный номер жесткого диска. Затем Trojan.Encoder.398 демонстрирует на экране сообщение о повреждении архива и запускает собственную копию, которая определяет и отправляет на принадлежащий злоумышленникам сервер серийный номер жесткого диска зараженной машины. В ответ троянец получает от удаленного узла конфигурационные данные в формате XML, содержащие параметры шифрования: e-mail для связи со злоумышленниками, ключ шифрования и номер алгоритма, который будет выбран для шифрования, а также часть расширения зашифрованных файлов, после чего начинается сама процедура шифрования.

В настоящий момент специалистам «Доктор Веб» известно несколько модификаций Trojan.Encoder.398, способных использовать до 18 различных алгоритмов шифрования. Троянец может зашифровывать файлы со следующими расширениями: .odt, *.ods, *.odp, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpeg, *.arw, *.dng, *.3fr, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.p12, *.p7b, *.pdf, *.p7c, *.pfx, *.odc, *.rar, *.zip, *.7z, *.png, *.backup, *.tar, *.eml, *.1cd, *.dt, *.md, *.dds.

Для связи злоумышленники обычно используют следующие адреса электронной почты: mrcrtools@aol.com, back_files@aol.com, backyourfile@aol.com, vernut2014@qq.com, yourfiles2014@yahoo.com, restorefiles2014@yahoo.fr, filescrypt2014@foxmail.com и некоторые другие.

До недавнего времени расшифровка файлов, пострадавших от действия троянца Trojan.Encoder.398, считалась невозможной, однако начиная с мая 2014 года специалисты компании «Доктор Веб» проводили серьезную научно-исследовательскую работу по созданию эффективных алгоритмов расшифровки. Наконец, эти усилия принесли свои плоды: на сегодняшний день «Доктор Веб» является единственной компанией, специалисты которой с вероятностью в 90% способны восстановить файлы, зашифрованные злоумышленниками с использованием вредоносной программы Trojan.Encoder.398 с дополнительным расширением *.filescrypt2014@foxmail.com_*.

Следует отметить, что в последнее время в Интернете появилось множество предложений о платной расшифровке пострадавших от действия шифровальщиков файлов, однако достоверно установлено, что большинство лиц, предлагающих подобного рода услуги, все равно обращается за помощью в службу технической поддержки компании «Доктор Веб». Обращаем ваше внимание на то, что компания «Доктор Веб» осуществляет расшифровку файлов бесплатно для пользователей своих лицензионных продуктов. Таким образом, сетевые мошенники фактически предлагают жертвам троянца приобрести услугу, которую можно получить на безвозмездной основе. По крайней мере, требуемая ими сумма вознаграждения значительно превышает стоимость лицензии на антивирусные продукты Dr.Web, приобретая которую, пользователь получает надежную защиту своих персональных компьютеров и мобильных устройств.

Если вы стали жертвой этой вредоносной программы, воспользуйтесь следующими рекомендациями:

• обратитесь с соответствующим заявлением в полицию;
• ни в коем случае не пытайтесь переустановить операционную систему;
• не удаляйте никакие файлы на вашем компьютере;
• не пытайтесь восстановить зашифрованные файлы самостоятельно;
• обратитесь в службу технической поддержки поддержки компании «Доктор Веб» (эта услуга бесплатна);
• к тикету приложите зашифрованный троянцем .DOC-файл;
• дождитесь ответа вирусного аналитика. В связи с большим количеством запросов это может занять некоторое время.

Напоминаем, что услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. Проделанная специалистами компании «Доктор Веб» работа открывает новые перспективы в борьбе с троянцами-шифровальщиками и позволяет надеяться, что в будущем все больше жертв подобных вредоносных программ получат возможность вернуть свои файлы, пострадавшие от действия энкодеров.

Чтобы троянец не испортил файлы, используйте защиту от потери данных

Только в Dr.Web Security Space версии 9 и 10

Подробнее о шифровальщиках

Что делать если..

Видео о настройке

Бесплатная расшифровка