Насколько выяснил да Винчи — это один из вариантов давно известного семейства шифровальщиков. Наверное вообще «забились в уголок» и «тихо плакали». Вирус-шифровальщик Trojan.Encoder.225» я уже подробно рассказывал об одном конкретном вирусе Trojan.Encoder.225, но, на тот момент, решения по расшифровке я так и не получил. А на их сайте не раз видел как люди с лицензией просили помощи в расшифровке декодированию файлов, и спустя какое-то время им помогали.
Как я понял из интернетов, данный вирус появился совсем недавно. И не думайте, что усложнение распространения вирусов застанет злоумышленников врасплох, их банковские счета и компьютерные фермы к этому готовы. А вот тут самое интересное, в аттаче был, разумеется, скрипт, запускающий шифровальщик.
Прикрепленные файлы:
Где найти эти программы и как сделать логи описано в Инструкции. Что НЕ нужно делать: — лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. В начале августа 2013 года ко мне обратились клиенты с проблемой зашифрованных файлов вирусом Trojan.Encoder.225. Антивирус, в принципе, не должен был допустить попадание этого вируса на комп. Тем более учитывая современные технологии.
Всем, кто пострадал от этого вируса рекомендую: 1. Используя встроенный поиск windows найти все файлы, содержащие расширение .perfect, скопировать их на внешний носитель
Вот уже на протяжении недели ищу варианты восстановления файлов. Более того, рыская по просторам интернета оказывается что, все больше и больше появляется пострадавших от этой пакости. Если кто-то также столкнулся с этой проблемой, милости просим в коменты для обсуждения.
После прогона антивирями, вирус пропадает, но шифровка остается. Беда в том, что меняются алгоритмы шифрования файлов и длина ключа в сторону усложнения их взлома. Осталось только понять (или нагуглить) какое шифрование использует твоя модификация вируса. Впрочем я и дома смог поймать, чудом заметил неладное и прибил процесс, но много файлов пришлось удалить, антивирусы в большей своей части просто молчат в ходе заражения.
51% ПК планеты Земля, на рынок вирусов выйдут другие методы, которые уже существуют, а некоторым уже скоро бороду надо будет состригать и всё по новой — а пока по муравьям из гранатомета не стреляют. На всё это один ответ — у нас не заложены средства по этой статье расходов.
В предвкушении успеха, запускаю утилиту (надо указать ей на один из зашифрованных *.doc файлов)
Дополнение к счёту», в теле письма «…бла-бла-бла, направляем для уточнения и согласования…» и тому подобная сопроводиловка. По случайности в этом кабинете я оказался в тот момент, когда прозвучала фраза «А чего это у меня вложение к письму не сохраняется?». И через несколько минут наблюдал, как весь рабочий стол, усеянный папками типа «Исходящие», «Протоколы и распоряжения» постепенно превращался в подобие поля после рок-концерта.
Что-то около гига, исключая картинки котиков и прочую лабуду, скачанную из интернетика. Через несколько часов после инцидента рабочее место было полностью готово к работе, а бухгалтерия уже нашла, с какого счёта перечислять деньги на лицензии и внешние диски для бакапа.
Единственное в чем вы правы это то что подобные конторы экономят на специалистах. Я вот например, могу посмотреть на ссылку и чисто интуитивно понять, что что-то с ней не так. Я даже пойму что именно не так. Просто опыт наверное.
И о чудо: полный успех! Все файлы расшифрованы корректно
Приложите этот файл к своему сообщению на форуме. Напомним: троянцы семейства Trojan.Encoder представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку. Которые, при обращении в их тех.поддержку, отмахиваются «мы работаем над этим вопросом, о результатах уведомим по почте».
Итак, купив «лицензию на 2 ПК на год» за н-сумму денег, обратившись в ТП и предоставив некоторые файлы я получил ссылку на утилиту-дешифровщик te225decrypt.exe версии 1.3.0.0
ГДЕ ЭТИ ВСЕ СУПЕР-СИСТЕМЫ БЫЛИ, КОГДА РАБОТНИК ОТДЕЛА КАДРОВ ОТКРЫВАЛ «БЕЗОБИДНОЕ» ПИСЬМО С ТЕМОЙ «РЕЗЮМЕ»??? Тут, параллельно со мной в работу включается коллега на ПК core i5 2500k (разгон до 4.5ghz) /16 ram 1600/ ssd intel (это для сравнения затраченного времени в конце статьи). Спустя 6 суток у меня утилита отрапортовала об расшифровке 7277 файлов.
Ну что ж, запускаем, альтернативы то все равно не было тогда. Проходит около 6 суток и утилита завершает свою работу ошибкой «Невозможно подобрать параметры шифрования».
Этот вирус — «бич» современности и брать «бабло» с однополчан — это не гуманно. Эти вирусы на данный момент расшифровываются на 99% исходя из личной практики. Касперы, ДРВебы и Ноды отвечают, что расшифровать не могут, но точно знают что за вирус — это Trojan.Win32.Fsysna.ddts.
