SHA1
- 1125617489218734be30513fc5d822cfe0f865cf – версия 1.000, упакованный
- 89091aa0258c7e535b6edf348370f66049e84201– версия 1.000, распакованный
- 82d9018f15c1940970ebbae75bea5f403f81300e – версия 1.001, упакованный
- e3af0112019792f98c803ea1e7684ce2fa365dd5 – версия 1.001, распакованный
- 45d699855bea5d7b02c3de5a7fb95a939a52dd0e – версия 2.000, упакованный
- df665809dae34d432ef43af7fad19a83463b3853 – версия 2.000, распакованный
- 8f76eb19362a423dde272e7fffdc35cb45cd0401 – версия 2.005, упакованный
- 5251e88ecf8c6d1ea228ff381af83ec4df41f1aa – версия 2.005, распакованный
- d7ee6eb9d5390b9afbfc50f958dd95f7bb122c1a – версия 2.006, упакованный
- e4d14bed6861f304127316aa1035c5207553c14f – версия 2.006, распакованный
- a1a0ba3b038113bb9a2c711cdbfb53bc34b519cf – версия 2.007, упакованный
- 4618eeb1be392b844183a85e6d000721cd364d49– версия 2.007, распакованный
- 04f6f74443e44c32048b3b1522748a5f981ac7ed – версия 3.000, упакованный
- 4205daa502d8e73af4ee14e838513131c1e3de2d – версия 3.000, распакованный
- 1a3532f0bcda543085da49c74c5db4d56532dc67– версия 3.002, упакованный
- bce18acb9b06f4f676cbdf6445aee1cb5325c3de - версия 3.002, распакованный
- a3097c3685bc0ab9e07774072d0ae3474a897dcb - версия 3.100, упакованный
- b4c459e986a099d691f970228ddbe2cba13e6cbb - версия 3.100, распакованный
Троянец-шифровальщик для ОС Microsoft Windows, также известный под именем CryptXXX. Написан на языке Delphi, зашифрованные файлы получают расширение *.crypt (в версии 3.100 расширение было изменено на *.cryp1), а файлы с требованиями вымогателей имеют имена de_crypt_readme.txt, de_crypt_readme.html и de_crypt_readme.png. Для связи с управляющими серверами используется порт 443, который обычно задействуется при соединении с помощью HTTPS, однако Trojan.Encoder.4393 использует собственный протокол. Троянец насчитывает несколько версий, файлы, зашифрованные некоторыми из них, поддаются расшифровке.
Энкодер представляет собой динамическую библиотеку с несколькими экспортами. При загрузке библиотеки вызывается функция DllMain, которая распаковывает полезную нагрузку, также выполненную в виде библиотеки DLL. После распаковки осуществляется проверка, из какого процесса был запущен троянец. Если имя исходного процесса отличается от Rundll32, троянец запускает себя через Rundll32 с именем процедуры Working. Если первоначально троянец был запущен из процесса Rundll32, он перезагружает свою библиотеку с точкой входа в AccessToken. Контроль повторного запуска троянец осуществляет с помощью специального файла, создаваемого в папке %CommonAppData%.
Троянцы версии 1.000, 1.001, 2.000 осуществляют шифрование с использованием алгоритма RC4, ключ вредоносная программа получает с управляющего сервера. Остальные версии используют сочетание RC4 и RSA. Для получения уникального идентификатора зараженной машины троянец извлекает значения следующих ветвей системного реестра:
[HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\0\\Identifier]
[HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\0\\ProcessorNameString]
[HARDWARE\\DESCRIPTION\\System\\BIOS\\BIOSVendor]
[HARDWARE\\DESCRIPTION\\System\\Identifier]Полученные данные совмещаются с серийным номером жесткого диска и шифруются с помощью алгоритма MD5.
Троянец версии 2.006 имеет несколько отличий от своих предшественников. Например, он завершает свою работу, если обнаруживает на инфицированном компьютере процессы с именами AVP.EXE или EGUI.EXE. Если троянец запущен не процессом svchost.exe, он копирует в собственную папку файл rundll32.exe с именем svchost.exe и запускает себя через эту копию, после чего исходный файл завершает работу. Если троянец запущен из процесса svchost.exe, он осуществляет проверку на повторное заражение, проверяя наличие файла %CommonAppData%\Z. Если такой файл существует, троянец прекращает свою работу, если отсутствует — вредоносная программа создает его. Также в этой версии энкодера был значительно изменен алгоритм генерации ID инфицированного компьютера.
