Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.Encoder.3953

Добавлен в вирусную базу Dr.Web: 2016-02-17

Описание добавлено:

SHA1

  • fd131f8d61b57954a5906483baf43c92d76a80e7
  • a07a1660ebd71bff4b640665208d2ade51791e69
  • d0a05ad76a8eec9a4fce36e9cf5d446d7ddaae3f
  • 583bbf424a7114586dd48fe57be999cbd750ba56

Тронец-шифровальщик для операционной системы Microsoft Windows. Известны как минимум 4 его модификации, отличающиеся способом шифрования файлов, и 4 версии, различающиеся способом их именования. Имеются основания полагать, что авторами этого энкодера являются вирусописатели, ранее создавшие Trojan.Encoder.741 и Trojan.Encoder.2667.

Зашифрованные файлы получают суффикс с контактным адресом электронной почты и расширением. Известно два расширения, которые троянец присваивает зашифрованным файлам:

  • *.xtbl
  • *.CrySiS

Злоумышленники оставляют следующие электронные адреса:

  • dalailama2015@protonmail.ch
  • Vegclass@aol.com
  • a_princ@aol.com
  • TREE_OF_LIFE@INDIA.COM
  • redshitline@india.com
  • milarepa.lotos@aol.com
  • Eco_vector@aol.com
  • sub_zero12@aol.com
  • gerkaman@aol.com
  • freetibet@india.com
  • cyber_baba2@aol.com
  • siddhiup2@india.com
  • gruzinrussian@aol.com
  • Ecovector3@aol.com
  • ramachandra7@india.com

Всего известны 4 схемы, которые троянец использует для именования зашифрованных файлов:

  • *.{email}.ext
  • *.ID*.email.xtbl
  • *.ID*.{email}.xtbl
  • *.id-*.{email}.ext

Версия 1

SHA1

  • fd131f8d61b57954a5906483baf43c92d76a80e7

После запуска троянец создает свою копию в папке %windir%\system32 с тем же именем. Если это не удается – копирует себя в папку %localappdata%. Затем для обеспечения автоматического запуска модифицирует ветвь системного реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run (если не удается изменить эту ветвь, модифицирует HKCU\Software\Microsoft\Windows\CurrentVersion\Run) и регистрирует там свою копию с именем параметра System Service. Для контроля повторного запуска использует мьютекс с именем Global\snc_%virname%.

Внутреннее состояние генератора случайных чисел хранится в 32-байтном буфере. От этого буфера вычисляется MD5, результат используется как ключ для RC4-шифрования, которым и шифруется сам буфер. Полученные 0x20 байт - ключ для шифрования файлов.

Шифрование выполняется в отдельном потоке, имена зашифрованных файлов получают дополнение вида *.{email}.ext. Данные шифруются с использованием алгоритмов AES-CBC-256. В конец файла записывается 6-байтный маркер, 16 байт вектора инициализации, затем 1 байт, указывающий длину выравнивания. В конце следуют 0x80 байт, в которых хранится зашифрованный ключ для расшифровки файлов. Ключ шифрования для всех файлов одинаков, вектор инициализации для каждого файла уникален.

Файлы, поврежденные в результате действия этой версии троянца, поддаются расшифровке.

Версия 2

SHA1

  • a07a1660ebd71bff4b640665208d2ade51791e69

Троянец упакован, распакованный образец имеет SHA1 8d2b415f8da004f5da7ac706d418f25072782abe.

В процессе генерации ключа данные в буфере преобразуются при помощи функции XOR с использованием промежуточных данных предыдущих вызовов генерации случайных значений. Для сетевых ресурсов генерируется отдельный ключ.

Схема именования зашифрованных файлов: *.ID*.email.xtbl или *.ID*.{email}.xtbl

Данные шифруются с использованием алгоритмов AES-CBC-256.

При модификации системного реестра с целью автоматического запуска троянец регистрируется с фиксированным именем.

По сравнению с предыдущей версией изменен порядок записи информации в конец файла: сначала сохраняется имя файла (в Unicode), потом - маркер (длиной 6 байт), затем - 20 байт неизвестного назначения, после них 16 байт вектора инициализации. Затем сохраняются 4 байта с длиной выравнивания. Далее снова следуют 0x80 байт, в которых хранится зашифрованный ключ для расшифровки файлов. Последним параметром DWORD записывается длина оригинального имени файла в байтах. Итого фиксированный «хвост» имеет 178 байт длины.

Файлы, поврежденные в результате действия этой версии троянца, поддаются расшифровке.

Версия 2.5

SHA1

  • d0a05ad76a8eec9a4fce36e9cf5d446d7ddaae3f

Троянец упакован, распакованный образец имеет SHA1 ad68d95b42ef99dab3a87d49aed403a86cd99673.

В этой версии изменена работа генератора случайных чисел.

Троянец регистрируется в ветви реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run или HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run со случайным именем.

Схема именования файлов: *.ID*.{email}.xtbl

Формат записи данных в конец файла идентичен предыдущей версии.

Файлы, поврежденные в результате действия этой версии троянца, в некоторых случаях поддаются расшифровке.

Версия 3

SHA1

  • 583bbf424a7114586dd48fe57be999cbd750ba56

Схема именования зашифрованных файлов: *.id-*.{email}.ext

Данные шифруются с использованием алгоритмов AES-CBC-256, вектор инициализации уникален для каждого файла.

Генерация ключа в этой версии вредоносной программы стала более стойкой.

Ключ для расшифровки файлов вместе со случайными байтами шифруется алгоритмом RSA-1024 и сохраняется в конце файла.

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке