Trojan.Encoder.398

Троянец-шифровальщик, написанный на языке Delphi, является, по всей видимости, развитием вредоносной программы Trojan.Encoder.225. Ключи для шифрования получает с сервера злоумышленников.

При первом запуске копирует себя в папку %APPDATA%\ID\ с именем ID.exe, где ID — серийный номер жесткого диска. Затем демонстрирует на экране сообщение о том, что архив поврежден, и запускает скопированный файл с каталогом по умолчанию C:\, после чего завершается.

Второй запущенный экземпляр троянца проверяет наличие каталога %APPDATA%\ID, получает серийный номер жесткого диска и отправляет его на сервер при помощи функции InternetOpenUrlA. В ответ троянец получает от сервера конфигурационные данные в формате XML, содержащие параметры шифрования: e-mail для связи со злоумышленниками, ключ шифрования и номер алгоритма, который будет выбран для шифрования, а также часть расширения зашифрованных файлов (параметр ext).

После инициализации переменных начинается шифрование файлов. Шифрует только фиксированные диски (DRIVE_FIXED). Не шифрует файлы в следующих каталогах:

$RECYCLE.BIN, Windows,Program Files (x86), Program Files, Games, ProgramData, UpdatusUser, AppData, Application Data, Cookies, Local Settings, NetHood, PrintHood, Recent, SendTo, Главное меню, Поиски, Ссылки, System Volume Information, Recovery, NVIDIA, Intel, DrWeb Quarantine, Config.Msi, All Users, Все пользователи.

Сохраняет в каждом каталоге файл 'КАК_PАЗБЛOКИРOВАТЬ_ВАШИ_ФAЙЛЫ.txt' со следующим содержимым:

Все ваши файлы были зашифрована криптостойким алгоритмом.

Расшифровать файлы можно только имея дешифратор и уникальный для вашего ПК пароль для расшифровки.

Приобрести дешифратор вы можете в течение 7 дней после прочтения этого сообщения. В дальнейшем пароль удаляется из базы и расшифровать ваши файлы будет невозможно.

Для покупки дешфратора напишите на наш email - mrcrtools@aol.com

Если хотите убедится, что у нас действительно есть дешифратор для расшифровки ваших файлов, приложите к письму любой зашифрованный файл (кроме баз данных) и мы вышлем его расшифрованную версию.

Стоимость дешифратора 5000 рублей. Варианты оплаты вышлем также в ответе на ваше письмо.

Email для связи с нами - mrcrtools@aol.com

Троянец содержит в себе обширный список расширений файлов, которые подвергаются шифрованию:

Вредоносная программа может использовать следующие алгоритмы шифрования (в указанном порядке):

1. DES
2. RC2
3. RC4
4. RC5
5. RC6
6. 3DES
7. Blowfish
8. AES (Rijndael)
9. ГОСТ 28147-89
10. IDEA
11. Tea
12. CAST-128
13. CAST-256
14. ICE
15. Twofish
16. Serpent
17. MARS
18. MISTY1

Способ шифрования выбирается исходя из значения параметра, получаемого в конфигурационном XML-файле.

После первоначального цикла шифрования всех дисков запускает второй цикл, в котором шифрует базы данных 1С в каталогах Program Files и Program Files (x86).

Список расширений шифруемых файлов:

Помимо описанной выше версии троянца существует еще несколько модификаций данной вредоносной программы:

1. С использованием адреса электронной почты back_files@aol.com.

   Размещает на диске файл с сообщением от вымогателей следующего содержания:

   Ваши файлы зашифрованы.
   Расшифровать файлы можно, купив дешифратор и уникальный для вашего компьютера пароль.
   Стоимость дешифратора 5000 рублей, чтобы купить дешифратор напишите нам на email - back_files@aol.com.
   Если вам нужно убедится в нашей возможности расшифровки файлов, можете приложить к письму любой, кроме баз данных файл и мы вышлем его оригинальную версию.

2. С использованием адреса электронной почты backyourfile@aol.com.

   При первом запуске записывает в ключ реестра Software\ENCRYPTOR следующие параметры:

   • files — путь к текстовому файлу, содержащему список всех зашифрованных файлов
   • hid — серийный номер жесткого диска
   • inst — флаг установки (true/false)
   • mg — путь к html-файлу с требованиями злоумышленников
   • p — путь к исполняемому файлу энкодера
   • w — путь к графическому файлу с требованиями злоумышленников

   Размещает в папке автозагрузки HTML-файл с текстом следующего содержания:

   Все ваши файлы были зашифрованы с помощью криптостойкого алгоритма!
   Расшифровать ваши файлы не зная уникальный для вашего ПК пароль невозможно!
   Любая попытка изменить файл приведет к невозможности его восстановления!
   Стоимость дешифратора 5000 рублей.
   Купить дешифратор и пароль для расшифровки можно написав нам на email:
   backyourfiles@aol.com
   Если Вы хотите убедится в возможности восстановления ваших файлов, прикрепите к письму какой-нибудь зашифрованный файл и мы его расшифруем.

   В качестве обоев Рабочего стола Windows устанавливает следующее графическое изображение:

   

   Список расширений шифруемых файлов:

   *.odt,*.ods,*.odp,*.odb,*.doc,*.docx,*.docm,*.wps,*.xls,*.xlsx,*.xlsm,*.xlsb,*.xlk,*.ppt,*.pptx,*.pptm,
   *.mdb,*.accdb,*.pst,*.dwg,*.dxf,*.dxg,*.wpd,*.rtf,*.wb2,*.mdf,*.dbf,*.psd,*.pdd,*.eps,*.ai,*.indd,*.cdr,
   *.jpg,*.jpeg,*.arw,*.dng,*.3fr,*.srf,*.sr2,*.bay,*.crw,*.cr2,*.dcr,*.kdc,*.erf,*.mef,*.mrw,*.nef,*.nrw,*.orf,
   *.raf,*.raw,*.rwl,*.rw2,*.r3d,*.ptx,*.pef,*.srw,*.x3f,*.der,*.cer,*.crt,*.pem,*.p12,*.p7b,
   *.pdf,*.p7c,*.pfx,*.odc,*.rar,*.zip,*.7z,*.png,*.backup,*.tar,*.eml,*.1cd,*.dt,*.md,*.dds

   Вредоносная программа может использовать следующие алгоритмы шифрования (в указанном порядке):

   1. Blowfish
   2. CAST-128
   3. CAST-256
   4. DES
   5. ГОСТ 28147-89
   6. ICE
   7. IDEA
   8. MARS
   9. MISTY1
   10. 3DES
   11. RC4
   12. RC5
   13. RC6
   14. AES (Rijndael)
   15. Serpent
   16. TEA
   17. Twofish
   18. RC2
3. С использованием адреса электронной почты vernut2014@qq.com.

   При запуске демонстрирует на экране сообщение «Файл поврежден». Создает в системном реестре Windows ключ HKCU\Software\LIMITED, в котором сохраняет следующие параметры:

   • pth — путь к исполняемому файлу троянца
   • installd (возможное значение — true)
   • wall — путь к графическому файлу с требованиями злоумышленников
   • msge — путь к html-файлу с требованиями злоумышленников. Этот путь троянец также сохраняет в ветви системного реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • files — путь к текстовому файлу с требованиями злоумышленников
   • huid — идентификатор инфицированного компьютера

   Сохраняет файлы со случайным именем в подпапках директории %APPDATA%, имена которых также назначаются случайным образом.

4. С использованием адреса электронной почты yourfiles2014@yahoo.com.

   Размещает в папке автозагрузки HTML-файл с текстом следующего содержания:

   Все ваши файлы были зашифрованы с помощью одного из криптостойких алгоритмов!!!
   Расшифровать файлы не зная уникальный для вашего компьютера пароль невозможно!
   Любая попытка изменить файл приведет к невозможности его восстановления!
   Стоимость дешифратора 5000 рублей.
   Купить дешифратор и пароль для расшифровки можно написав нам на email:
   yourfiles2014@yahoo.com
   Если хотите убедится в возможности расшифровки ваших файлов, прикрепите к письму какой-нибудь зашифрованный файл и мы вышлем его оригинал.

   В качестве обоев Рабочего стола Windows устанавливает следующее графическое изображение:

   

5. С использованием адреса электронной почты restorefiles2014@yahoo.fr.

   Размещает в папке автозагрузки HTML-файл с текстом следующего содержания:

   Все ваши документы были зашифрованы одним из криптостойких алгоритмов. Расшифровать файлы не зная уникальный для вашего ПК пароль и тип шифрования невозможно!
   Не пытайтесь изменять название, структуру файлов или расшифровывать файлы различными дешифраторами выложеными в сети, это приведет к невозможности их восстановления.
   Стоимость дешифратора для ваших файлов 5000 рублей.
   Купить дешифратор и пароль для расшифровки можно связавшись с нами по email:
   restorefiles2014@yahoo.fr
   Если вам нужно убедится в возможности расшифровки ваших файлов, прикрепите к письму какой-нибудь зашифрованный файл и мы вышлем его оригинальную версию.

   В качестве обоев Рабочего стола Windows устанавливает следующее графическое изображение:

   

6. С использованием адреса электронной почты filescrypt2014@foxmail.com.

   В настоящий момент существует 90%-я вероятность расшифровки файлов, пострадавших от действия вредоносных программ семейства Trojan.Encoder.398.