Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.Encoder.32677

Добавлен в вирусную базу Dr.Web: 2020-09-25

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения
Создает следующие файлы на съемном носителе
  • <Имя диска съемного носителя>:\correct.avi
  • <Имя диска съемного носителя>:\cveuropeo.doc.dpygskkey
  • <Имя диска съемного носителя>:\hanni_umami_chapter.doc
  • <Имя диска съемного носителя>:\hanni_umami_chapter.doc.dpygskkey
  • <Имя диска съемного носителя>:\february_catalogue__2015.doc
  • <Имя диска съемного носителя>:\february_catalogue__2015.doc.dpygskkey
  • <Имя диска съемного носителя>:\fi51.doc
  • <Имя диска съемного носителя>:\fi51.doc.dpygskkey
  • <Имя диска съемного носителя>:\uep_form_786_bulletin_1726i602.doc
  • <Имя диска съемного носителя>:\uep_form_786_bulletin_1726i602.doc.dpygskkey
  • <Имя диска съемного носителя>:\stoc13_ml_quoc_le.pptx.dpygskkey
  • <Имя диска съемного носителя>:\hypothyroidism_slides.pptx.dpygskkey
  • <Имя диска съемного носителя>:\gruenspecht_02172016.pptx
  • <Имя диска съемного носителя>:\gruenspecht_02172016.pptx.dpygskkey
  • <Имя диска съемного носителя>:\iso27k_isms_implementation_and_certification_process_overview_v2.pptx
  • <Имя диска съемного носителя>:\iso27k_isms_implementation_and_certification_process_overview_v2.pptx.dpygskkey
  • <Имя диска съемного носителя>:\samieee_obiee_presentation.pptx
  • <Имя диска съемного носителя>:\samieee_obiee_presentation.pptx.dpygskkey
  • <Имя диска съемного носителя>:\indogerman2010.pptx
  • <Имя диска съемного носителя>:\indogerman2010.pptx.dpygskkey
  • <Имя диска съемного носителя>:\hypothyroidism_slides.pptx
  • <Имя диска съемного носителя>:\cveuropeo.doc
  • <Имя диска съемного носителя>:\stoc13_ml_quoc_le.pptx
  • <Имя диска съемного носителя>:\testee.cer.dpygskkey
  • <Имя диска съемного носителя>:\dialmap.bmp
  • <Имя диска съемного носителя>:\correct.avi.dpygskkey
  • <Имя диска съемного носителя>:\join.avi
  • <Имя диска съемного носителя>:\join.avi.dpygskkey
  • <Имя диска съемного носителя>:\split.avi
  • <Имя диска съемного носителя>:\split.avi.dpygskkey
  • <Имя диска съемного носителя>:\dashborder_96.bmp
  • <Имя диска съемного носителя>:\dashborder_96.bmp.dpygskkey
  • <Имя диска съемного носителя>:\toolbar.bmp
  • <Имя диска съемного носителя>:\toolbar.bmp.dpygskkey
  • <Имя диска съемного носителя>:\dialmap.bmp.dpygskkey
  • <Имя диска съемного носителя>:\sdksampleprivdeveloper.cer.dpygskkey
  • <Имя диска съемного носителя>:\dashborder_120.bmp
  • <Имя диска съемного носителя>:\dashborder_120.bmp.dpygskkey
  • <Имя диска съемного носителя>:\default.bmp
  • <Имя диска съемного носителя>:\default.bmp.dpygskkey
  • <Имя диска съемного носителя>:\testcertificate.cer
  • <Имя диска съемного носителя>:\testcertificate.cer.dpygskkey
  • <Имя диска съемного носителя>:\contoso.cer
  • <Имя диска съемного носителя>:\contoso.cer.dpygskkey
  • <Имя диска съемного носителя>:\sdksampleprivdeveloper.cer
  • <Имя диска съемного носителя>:\testee.cer
  • <Имя диска съемного носителя>:\decrypt-dpygsk-decrypt.hta
Вредоносные функции
Для затруднения выявления своего присутствия в системе
удаляет теневые копии разделов.
Изменения в файловой системе
Создает следующие файлы
  • C:\$recycle.bin\s-1-5-18\desktop.ini
  • C:\far2\plugins\farcmds\decrypt-dpygsk-decrypt.hta
  • C:\far2\plugins\filecase\caseeng.hlf.dpygskkey
  • C:\far2\plugins\filecase\caseeng.lng.dpygskkey
  • C:\far2\plugins\filecase\caserus.hlf.dpygskkey
  • C:\far2\plugins\filecase\caserus.lng.dpygskkey
  • C:\far2\plugins\filecase\changelog.dpygskkey
  • C:\far2\plugins\filecase\filecase.map.dpygskkey
  • C:\far2\plugins\filecase\decrypt-dpygsk-decrypt.hta
  • C:\far2\plugins\ftp\changelog.dpygskkey
  • C:\far2\plugins\ftp\farftp.map.dpygskkey
  • C:\far2\plugins\ftp\ftpcmds_rus.txt.dpygskkey
  • C:\far2\plugins\ftp\notes_rus.txt.dpygskkey
  • C:\far2\plugins\ftp\ftpeng.hlf.dpygskkey
  • C:\far2\plugins\ftp\ftpeng.lng.dpygskkey
  • C:\far2\plugins\ftp\ftprus.hlf.dpygskkey
  • C:\far2\plugins\ftp\ftprus.lng.dpygskkey
  • C:\far2\plugins\ftp\lib\ftpdirlist.fll.dpygskkey
  • C:\far2\plugins\ftp\lib\ftpdirlist.map.dpygskkey
  • C:\far2\plugins\ftp\lib\ftpprogress.fll.dpygskkey
  • C:\far2\plugins\ftp\lib\ftpprogress.map.dpygskkey
  • C:\far2\plugins\ftp\lib\decrypt-dpygsk-decrypt.hta
  • C:\far2\plugins\ftp\notes.txt.dpygskkey
  • C:\far2\plugins\farcmds\farcmdsrus.lng.dpygskkey
  • C:\far2\plugins\ftp\ftpcmds.txt.dpygskkey
  • C:\far2\plugins\farcmds\farcmdsrus.hlf.dpygskkey
  • C:\far2\plugins\editcase\ecaserus.lng.dpygskkey
  • C:\far2\plugins\drawline\draweng.hlf.dpygskkey
  • C:\far2\plugins\drawline\draweng.lng.dpygskkey
  • C:\far2\plugins\drawline\drawline.map.dpygskkey
  • C:\far2\plugins\drawline\drawrus.hlf.dpygskkey
  • C:\far2\plugins\drawline\drawrus.lng.dpygskkey
  • C:\far2\plugins\drawline\decrypt-dpygsk-decrypt.hta
  • C:\far2\plugins\editcase\changelog.dpygskkey
  • C:\far2\plugins\editcase\ecaseeng.hlf.dpygskkey
  • C:\far2\plugins\editcase\ecaseeng.lng.dpygskkey
  • C:\far2\plugins\editcase\ecaserus.hlf.dpygskkey
  • C:\far2\plugins\editcase\editcase.map.dpygskkey
  • C:\far2\plugins\farcmds\farcmdseng.hlf.dpygskkey
  • C:\far2\plugins\editcase\decrypt-dpygsk-decrypt.hta
  • C:\far2\plugins\emenu\changelog.dpygskkey
  • C:\far2\plugins\emenu\emenu.map.dpygskkey
  • C:\far2\plugins\emenu\emenueng.hlf.dpygskkey
  • C:\far2\plugins\emenu\emenueng.lng.dpygskkey
  • C:\far2\plugins\emenu\emenurus.hlf.dpygskkey
  • C:\far2\plugins\emenu\emenurus.lng.dpygskkey
  • C:\far2\plugins\emenu\decrypt-dpygsk-decrypt.hta
  • C:\far2\plugins\farcmds\changelog.dpygskkey
  • C:\far2\plugins\farcmds\farcmds.map.dpygskkey
  • C:\far2\plugins\farcmds\farcmdseng.lng.dpygskkey
  • C:\far2\plugins\macroview\decrypt-dpygsk-decrypt.hta
  • C:\recovery\1195d5a8-f371-11e4-9c00-dd3082671db2\boot.sdi.dpygskkey
  • C:\far2\plugins\hlfviewer\hlfviewer.map.dpygskkey
  • C:\far2\plugins\tmppanel\changelog.dpygskkey
  • C:\far2\plugins\tmppanel\disks_eng.temp.dpygskkey
  • C:\far2\plugins\tmppanel\disks_rus.temp.dpygskkey
  • C:\far2\plugins\tmppanel\shortcuts_eng.temp.dpygskkey
  • C:\far2\plugins\tmppanel\shortcuts_rus.temp.dpygskkey
  • C:\far2\plugins\tmppanel\tmpeng.hlf.dpygskkey
  • C:\far2\plugins\tmppanel\tmpeng.lng.dpygskkey
  • C:\far2\plugins\tmppanel\tmppanel.map.dpygskkey
  • C:\far2\plugins\tmppanel\tmprus.hlf.dpygskkey
  • C:\far2\plugins\tmppanel\tmprus.lng.dpygskkey
  • C:\far2\plugins\decrypt-dpygsk-decrypt.hta
  • C:\far2\plugins\hlfviewer\changelog.dpygskkey
  • C:\far2\pluginsdk\headers.c\farcolor.hpp.dpygskkey
  • C:\far2\pluginsdk\headers.c\farkeys.hpp.dpygskkey
  • C:\far2\pluginsdk\headers.c\plugin.hpp.dpygskkey
  • C:\far2\pluginsdk\headers.c\decrypt-dpygsk-decrypt.hta
  • C:\far2\pluginsdk\headers.pas\farcolorw.pas.dpygskkey
  • C:\far2\pluginsdk\headers.pas\farkeysw.pas.dpygskkey
  • C:\far2\pluginsdk\headers.pas\pluginw.pas.dpygskkey
  • C:\far2\pluginsdk\headers.pas\decrypt-dpygsk-decrypt.hta
  • C:\far2\pluginsdk\decrypt-dpygsk-decrypt.hta
  • C:\far2\decrypt-dpygsk-decrypt.hta
  • C:\far2\plugins\proclist\decrypt-dpygsk-decrypt.hta
  • C:\far2\plugins\drawline\changelog.dpygskkey
  • C:\far2\plugins\proclist\procrus.lng.dpygskkey
  • C:\far2\plugins\macroview\macroview.map.dpygskkey
  • C:\far2\plugins\hlfviewer\hlfviewereng.hlf.dpygskkey
  • C:\far2\plugins\hlfviewer\hlfviewereng.lng.dpygskkey
  • C:\far2\plugins\hlfviewer\hlfviewerrus.hlf.dpygskkey
  • C:\far2\plugins\hlfviewer\hlfviewerrus.lng.dpygskkey
  • C:\far2\plugins\hlfviewer\decrypt-dpygsk-decrypt.hta
  • C:\far2\plugins\macroview\changelog.dpygskkey
  • C:\far2\plugins\macroview\macroeng.hlf.dpygskkey
  • C:\far2\plugins\macroview\macroeng.lng.dpygskkey
  • C:\far2\plugins\macroview\macrorus.hlf.dpygskkey
  • C:\far2\plugins\macroview\macrorus.lng.dpygskkey
  • C:\far2\plugins\ftp\decrypt-dpygsk-decrypt.hta
  • C:\far2\plugins\proclist\proclist.map.dpygskkey
  • C:\far2\plugins\network\changelog.dpygskkey
  • C:\far2\plugins\network\neteng.hlf.dpygskkey
  • C:\far2\plugins\network\neteng.lng.dpygskkey
  • C:\far2\plugins\network\netrus.hlf.dpygskkey
  • C:\far2\plugins\network\netrus.lng.dpygskkey
  • C:\far2\plugins\network\network.map.dpygskkey
  • C:\far2\plugins\network\decrypt-dpygsk-decrypt.hta
  • C:\far2\plugins\proclist\changelog.dpygskkey
  • C:\far2\plugins\proclist\proceng.hlf.dpygskkey
  • C:\far2\plugins\proclist\proceng.lng.dpygskkey
  • C:\far2\plugins\proclist\procrus.hlf.dpygskkey
  • C:\far2\plugins\tmppanel\decrypt-dpygsk-decrypt.hta
  • C:\far2\plugins\compare\decrypt-dpygsk-decrypt.hta
  • C:\far2\plugins\autowrap\decrypt-dpygsk-decrypt.hta
  • C:\far2\addons\xlat\descript.ion.dpygskkey
  • C:\far2\addons\xlat\russian\descript.ion.dpygskkey
  • C:\far2\addons\xlat\russian\decrypt-dpygsk-decrypt.hta
  • C:\far2\addons\xlat\decrypt-dpygsk-decrypt.hta
  • C:\far2\addons\decrypt-dpygsk-decrypt.hta
  • C:\far2\changelog.dpygskkey
  • C:\far2\changelog_eng.dpygskkey
  • C:\far2\documentation\eng\arc_support.txt.dpygskkey
  • C:\far2\documentation\eng\bug_report.txt.dpygskkey
  • C:\far2\documentation\eng\far_faq.txt.dpygskkey
  • C:\far2\documentation\eng\plugins_review.txt.dpygskkey
  • C:\far2\encyclopedia\farencyclopedia_ru.chm.dpygskkey
  • C:\far2\documentation\eng\techinfo.txt.dpygskkey
  • C:\far2\documentation\eng\decrypt-dpygsk-decrypt.hta
  • C:\far2\documentation\rus\arc_support.txt.dpygskkey
  • C:\far2\documentation\rus\bug_report.txt.dpygskkey
  • C:\far2\documentation\rus\far_faq.txt.dpygskkey
  • C:\far2\documentation\rus\plugins_install.txt.dpygskkey
  • C:\far2\documentation\rus\plugins_review.txt.dpygskkey
  • C:\far2\documentation\rus\techinfo.txt.dpygskkey
  • C:\far2\documentation\rus\decrypt-dpygsk-decrypt.hta
  • C:\far2\documentation\decrypt-dpygsk-decrypt.hta
  • C:\far2\addons\shell\decrypt-dpygsk-decrypt.hta
  • C:\far2\documentation\eng\plugins_install.txt.dpygskkey
  • C:\far2\addons\shell\farhere.inf.dpygskkey
  • z:\xeldz.dpygsk
  • D:\$recycle.bin\s-1-5-18\desktop.ini
  • %TEMP%\microsoft\windows\itlxcn\windows.sys:qvqhfjkvnrdtqgtt
  • %TEMP%\microsoft\windows\o10inb\windows.sys:dhpkxqkdun
  • %TEMP%\microsoft\windows\pfn1u4\windows.sys:qxoyhxveerelbnrwg
  • z:\$recycle.bin\s-1-5-18\desktop.ini
  • <Текущая директория>\decrypt-dpygsk-decrypt.hta
  • D:\install.log.dpygskkey
  • D:\decrypt-dpygsk-decrypt.hta
  • z:\xeldz.dpygskkey
  • z:\decrypt-dpygsk-decrypt.hta
  • C:\far2\addons\colors\custom_highlighting\descript.ion.dpygskkey
  • C:\far2\addons\setup\decrypt-dpygsk-decrypt.hta
  • C:\far2\addons\colors\custom_highlighting\decrypt-dpygsk-decrypt.hta
  • C:\far2\addons\colors\default_highlighting\descript.ion.dpygskkey
  • C:\far2\addons\colors\default_highlighting\decrypt-dpygsk-decrypt.hta
  • C:\far2\addons\colors\descript.ion.dpygskkey
  • C:\far2\addons\colors\decrypt-dpygsk-decrypt.hta
  • C:\far2\addons\descript.ion.dpygskkey
  • C:\far2\addons\macros\descript.ion.dpygskkey
  • C:\far2\addons\macros\decrypt-dpygsk-decrypt.hta
  • C:\far2\addons\readme.txt.dpygskkey
  • C:\far2\addons\setup\descript.ion.dpygskkey
  • C:\far2\addons\shell\descript.ion.dpygskkey
  • C:\far2\farspa.lng.dpygskkey
  • C:\far2\plugins\compare\compeng.lng.dpygskkey
  • C:\far2\encyclopedia\tap\decrypt-dpygsk-decrypt.hta
  • C:\far2\plugins\arclite\arclite_eng.hlf.dpygskkey
  • C:\far2\plugins\arclite\arclite_eng.lng.dpygskkey
  • C:\far2\plugins\arclite\arclite_rus.hlf.dpygskkey
  • C:\far2\plugins\arclite\arclite_rus.lng.dpygskkey
  • C:\far2\plugins\arclite\changelog.dpygskkey
  • C:\far2\plugins\arclite\decrypt-dpygsk-decrypt.hta
  • C:\far2\plugins\autowrap\autowrap.map.dpygskkey
  • C:\far2\plugins\autowrap\changelog.dpygskkey
  • C:\far2\plugins\autowrap\wrapeng.lng.dpygskkey
  • C:\far2\plugins\autowrap\wraprus.lng.dpygskkey
  • C:\far2\plugins\brackets\brackeng.hlf.dpygskkey
  • C:\far2\encyclopedia\tap\code.idb.dpygskkey
  • C:\far2\plugins\brackets\brackeng.lng.dpygskkey
  • C:\far2\plugins\brackets\brackets.map.dpygskkey
  • C:\far2\plugins\brackets\brackrus.hlf.dpygskkey
  • C:\far2\plugins\brackets\brackrus.lng.dpygskkey
  • C:\far2\plugins\brackets\changelog.dpygskkey
  • C:\far2\plugins\brackets\decrypt-dpygsk-decrypt.hta
  • C:\far2\plugins\compare\changelog.dpygskkey
  • C:\far2\plugins\compare\cmpeng.hlf.dpygskkey
  • C:\far2\plugins\compare\cmprus.hlf.dpygskkey
  • C:\far2\plugins\compare\compare.map.dpygskkey
  • C:\far2\plugins\arclite\arclite.map.dpygskkey
  • C:\far2\plugins\compare\comprus.lng.dpygskkey
  • C:\far2\plugins\arclite\7zsd.sfx.dpygskkey
  • C:\far2\farrus.lng.dpygskkey
  • C:\far2\encyclopedia\decrypt-dpygsk-decrypt.hta
  • C:\far2\far.map.dpygskkey
  • C:\far2\farcze.lng.dpygskkey
  • C:\far2\fareng.hlf.dpygskkey
  • C:\far2\fareng.lng.dpygskkey
  • C:\far2\farger.lng.dpygskkey
  • C:\far2\farhun.hlf.dpygskkey
  • C:\far2\farhun.lng.dpygskkey
  • C:\far2\farpol.lng.dpygskkey
  • C:\far2\farrus.hlf.dpygskkey
  • C:\far2\encyclopedia\tap\12_r0m.tap.dpygskkey
  • C:\far2\plugins\arclite\7zs2.sfx.dpygskkey
  • C:\far2\fexcept\changelog.dpygskkey
  • C:\far2\fexcept\decrypt-dpygsk-decrypt.hta
  • C:\far2\file_id.diz.dpygskkey
  • C:\far2\plugins\align\align.map.dpygskkey
  • C:\far2\plugins\align\aligneng.lng.dpygskkey
  • C:\far2\plugins\align\alignrus.lng.dpygskkey
  • C:\far2\plugins\align\changelog.dpygskkey
  • C:\far2\plugins\align\decrypt-dpygsk-decrypt.hta
  • C:\far2\plugins\arclite\7z.sfx.dpygskkey
  • C:\far2\plugins\arclite\7zcon.sfx.dpygskkey
  • C:\far2\plugins\arclite\7zs2con.sfx.dpygskkey
  • C:\recovery\1195d5a8-f371-11e4-9c00-dd3082671db2\winre.wim.dpygskkey
Присваивает атрибут 'скрытый' для следующих файлов
  • C:\$recycle.bin\s-1-5-18\desktop.ini
  • D:\$recycle.bin\s-1-5-18\desktop.ini
  • z:\$recycle.bin\s-1-5-18\desktop.ini
Изменяет расширения файлов пользовательских данных (Trojan.Encoder).
Сетевая активность
Подключается к
  • '51.##.171.35':80
  • '<LOCALNET>.84.1':445
  • '<LOCALNET>.84.1':135
TCP
Запросы HTTP POST
  • http://51.##.171.35/fgate
Другое
Запускает на исполнение
  • '%WINDIR%\syswow64\cmd.exe' /C vssadmin Delete Shadows /All /Quiet
  • '<SYSTEM32>\vssvc.exe'
  • '%WINDIR%\syswow64\cmd.exe' /C bcdedit /set {default} recoveryenabled No
  • '%WINDIR%\syswow64\cmd.exe' /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
  • '%WINDIR%\syswow64\cmd.exe' /C wbadmin DELETE SYSTEMSTATEBACKUP
  • '%WINDIR%\syswow64\cmd.exe' /C wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
  • '%WINDIR%\syswow64\cmd.exe' /C wmic SHADOWCOPY /nointeractive
  • '%WINDIR%\syswow64\wbem\wmic.exe' SHADOWCOPY /nointeractive

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке