ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

RU
RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть

Переключение языка сайта

Сервисы
Сканеры
FixIt!
Dr.Web vxCube
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Trojan.Encoder.3953

Добавлен в вирусную базу Dr.Web: 2016-02-17

Описание добавлено:

SHA1

  • fd131f8d61b57954a5906483baf43c92d76a80e7
  • a07a1660ebd71bff4b640665208d2ade51791e69
  • d0a05ad76a8eec9a4fce36e9cf5d446d7ddaae3f
  • 583bbf424a7114586dd48fe57be999cbd750ba56

Тронец-шифровальщик для операционной системы Microsoft Windows. Известны как минимум 4 его модификации, отличающиеся способом шифрования файлов, и 4 версии, различающиеся способом их именования. Имеются основания полагать, что авторами этого энкодера являются вирусописатели, ранее создавшие Trojan.Encoder.741 и Trojan.Encoder.2667.

Зашифрованные файлы получают суффикс с контактным адресом электронной почты и расширением. Известно два расширения, которые троянец присваивает зашифрованным файлам:

  • *.xtbl
  • *.CrySiS

Злоумышленники оставляют следующие электронные адреса:

  • dalailama2015@protonmail.ch
  • Vegclass@aol.com
  • a_princ@aol.com
  • TREE_OF_LIFE@INDIA.COM
  • redshitline@india.com
  • milarepa.lotos@aol.com
  • Eco_vector@aol.com
  • sub_zero12@aol.com
  • gerkaman@aol.com
  • freetibet@india.com
  • cyber_baba2@aol.com
  • siddhiup2@india.com
  • gruzinrussian@aol.com
  • Ecovector3@aol.com
  • ramachandra7@india.com

Всего известны 4 схемы, которые троянец использует для именования зашифрованных файлов:

  • *.{email}.ext
  • *.ID*.email.xtbl
  • *.ID*.{email}.xtbl
  • *.id-*.{email}.ext

Версия 1

SHA1

  • fd131f8d61b57954a5906483baf43c92d76a80e7

После запуска троянец создает свою копию в папке %windir%\system32 с тем же именем. Если это не удается – копирует себя в папку %localappdata%. Затем для обеспечения автоматического запуска модифицирует ветвь системного реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run (если не удается изменить эту ветвь, модифицирует HKCU\Software\Microsoft\Windows\CurrentVersion\Run) и регистрирует там свою копию с именем параметра System Service. Для контроля повторного запуска использует мьютекс с именем Global\snc_%virname%.

Внутреннее состояние генератора случайных чисел хранится в 32-байтном буфере. От этого буфера вычисляется MD5, результат используется как ключ для RC4-шифрования, которым и шифруется сам буфер. Полученные 0x20 байт - ключ для шифрования файлов.

Шифрование выполняется в отдельном потоке, имена зашифрованных файлов получают дополнение вида *.{email}.ext. Данные шифруются с использованием алгоритмов AES-CBC-256. В конец файла записывается 6-байтный маркер, 16 байт вектора инициализации, затем 1 байт, указывающий длину выравнивания. В конце следуют 0x80 байт, в которых хранится зашифрованный ключ для расшифровки файлов. Ключ шифрования для всех файлов одинаков, вектор инициализации для каждого файла уникален.

Файлы, поврежденные в результате действия этой версии троянца, поддаются расшифровке.

Версия 2

SHA1

  • a07a1660ebd71bff4b640665208d2ade51791e69

Троянец упакован, распакованный образец имеет SHA1 8d2b415f8da004f5da7ac706d418f25072782abe.

В процессе генерации ключа данные в буфере преобразуются при помощи функции XOR с использованием промежуточных данных предыдущих вызовов генерации случайных значений. Для сетевых ресурсов генерируется отдельный ключ.

Схема именования зашифрованных файлов: *.ID*.email.xtbl или *.ID*.{email}.xtbl

Данные шифруются с использованием алгоритмов AES-CBC-256.

При модификации системного реестра с целью автоматического запуска троянец регистрируется с фиксированным именем.

По сравнению с предыдущей версией изменен порядок записи информации в конец файла: сначала сохраняется имя файла (в Unicode), потом - маркер (длиной 6 байт), затем - 20 байт неизвестного назначения, после них 16 байт вектора инициализации. Затем сохраняются 4 байта с длиной выравнивания. Далее снова следуют 0x80 байт, в которых хранится зашифрованный ключ для расшифровки файлов. Последним параметром DWORD записывается длина оригинального имени файла в байтах. Итого фиксированный «хвост» имеет 178 байт длины.

Файлы, поврежденные в результате действия этой версии троянца, поддаются расшифровке.

Версия 2.5

SHA1

  • d0a05ad76a8eec9a4fce36e9cf5d446d7ddaae3f

Троянец упакован, распакованный образец имеет SHA1 ad68d95b42ef99dab3a87d49aed403a86cd99673.

В этой версии изменена работа генератора случайных чисел.

Троянец регистрируется в ветви реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run или HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run со случайным именем.

Схема именования файлов: *.ID*.{email}.xtbl

Формат записи данных в конец файла идентичен предыдущей версии.

Файлы, поврежденные в результате действия этой версии троянца, в некоторых случаях поддаются расшифровке.

Версия 3

SHA1

  • 583bbf424a7114586dd48fe57be999cbd750ba56

Схема именования зашифрованных файлов: *.id-*.{email}.ext

Данные шифруются с использованием алгоритмов AES-CBC-256, вектор инициализации уникален для каждого файла.

Генерация ключа в этой версии вредоносной программы стала более стойкой.

Ключ для расшифровки файлов вместе со случайными байтами шифруется алгоритмом RSA-1024 и сохраняется в конце файла.

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта
Скачать с Google Play