IMHO.WS - Показать сообщение отдельно

George · 28.01.2006, 02:17

Trojan.Encoder - не поддавайтесь кибер-шантажу. «Доктор Веб» всегда придет Вам на помощь.

27 января 2006 года

За последние сутки в Службу вирусного мониторинга компании «Доктор Веб» поступило несколько обращений от пользователей, файлы документов которых оказались закодированы неизвестным вирусом. Кроме зашифрованных и поэтому недоступных для прочтения файлов все жертвы вируса обнаружили на своих дисках многочисленные копии файла readme.txt, в котором содержалось сообщение о том, что файлы пользователя зашифрованы и предлагалось обратиться с письмом на указанный адрес электронной почты для расшифровки файлов.

В этой связи компания «Доктор Веб» информирует своих пользователей, что в данном случае речь идет о поражении системы троянской программой, которая детектируется антивирусным ядром Dr.Web как Trojan.Encoder (добавлен в вирусную базу 26 января 2006 года). Троянская программа попадает на компьютеры своих жертв по электронной почте и прописывает себя в ключ реестра

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
services = Filename.exe

Троянец активируется, используя уязвимость операционной системы. Поселившись на компьютере жертвы, программа ищет файлы со следующими расширениями:

"rtf" ,"txt" ,"pdf" ,"csv" ,"frm" ,"css" ,"xls" ,
"mdb" ,"dbf" ,"dbt" ,"db" ,"safe" ,"flb" ,"pst" ,"pwl" ,"pwa" ,"pak" ,"rar" ,
"zip" ,"arj" ,"gz" ,"tar" ,"sar" ,"htm" ,"html" ,"cgi" ,"pl" ,"kwm" ,"pwm" ,
"cdr" ,"dbx" ,"mmf" ,"tbb" ,"xml " ,"frt" ,"frx" ,"gtd" ,"rmr" ,"chm" ,"mo" ,
"man" ,"c" ,"cpp" ,"h" ,"pgp" ,"gzip" ,"lst" ,"pfx" ,"p12" ,"db1" ,"db2" ,
"cnt" ,"sig" ,"css" ,"arh" ,"pem" ,"key" ,"prf" ,"old" ,"rnd" ,"prx"

и шифрует их с помощью алгоритма RSA. В дальнейшем автор вируса требует со своих жертв деньги за дешифровку. Свой адрес шантажист сообщает в файле readme.txt
Some files are coded by RSA method.
To buy decoder mail: ********34@rambler.ru
with subject: RSA 5 68243170728578411

Специалисты антивирусной лаборатории компании «Доктор Веб» оперативно разработали специальную дешифрующую программу, позволяющую вернуть все пораженные троянцем файлы документов в первоначальное состояние. Мы предлагаем всем, кто столкнулся с вышеуказанной проблемой, обращаться в Службу технической поддержки компании «Доктор Веб» - Вам помогут совершенно бесплатно!

Если у вас не очень много пораженных троянцем файлов, Вы можете их дешифровать прямо на нашем сервере. Для этого Вам надо загрузить сюда зашифрованный файл.

Вы также можете сами воспользоваться этой программой, скачав ее с с нашего FTP сервера. Параметры командной строки:

te_decrypt.exe имя_файла_который_требуется_дешифровать

Обращаем внимание, что дешифрованный с помощью этой утилиты файл будет иметь первоначальное имя с добавленным к нему расширением .decr.

Ссылка на страницу - _http://info.drweb.com/show/2746

28.01.2006, 02:17	# 106
George ::VIP:: Регистрация: 04.03.2005 Адрес: Санкт-Петербург Сообщения: 621	Trojan.Encoder - не поддавайтесь кибер-шантажу. «Доктор Веб» всегда придет Вам на помощь. 27 января 2006 года За последние сутки в Службу вирусного мониторинга компании «Доктор Веб» поступило несколько обращений от пользователей, файлы документов которых оказались закодированы неизвестным вирусом. Кроме зашифрованных и поэтому недоступных для прочтения файлов все жертвы вируса обнаружили на своих дисках многочисленные копии файла readme.txt, в котором содержалось сообщение о том, что файлы пользователя зашифрованы и предлагалось обратиться с письмом на указанный адрес электронной почты для расшифровки файлов. В этой связи компания «Доктор Веб» информирует своих пользователей, что в данном случае речь идет о поражении системы троянской программой, которая детектируется антивирусным ядром Dr.Web как Trojan.Encoder (добавлен в вирусную базу 26 января 2006 года). Троянская программа попадает на компьютеры своих жертв по электронной почте и прописывает себя в ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run services = Filename.exe Троянец активируется, используя уязвимость операционной системы. Поселившись на компьютере жертвы, программа ищет файлы со следующими расширениями: "rtf" ,"txt" ,"pdf" ,"csv" ,"frm" ,"css" ,"xls" , "mdb" ,"dbf" ,"dbt" ,"db" ,"safe" ,"flb" ,"pst" ,"pwl" ,"pwa" ,"pak" ,"rar" , "zip" ,"arj" ,"gz" ,"tar" ,"sar" ,"htm" ,"html" ,"cgi" ,"pl" ,"kwm" ,"pwm" , "cdr" ,"dbx" ,"mmf" ,"tbb" ,"xml " ,"frt" ,"frx" ,"gtd" ,"rmr" ,"chm" ,"mo" , "man" ,"c" ,"cpp" ,"h" ,"pgp" ,"gzip" ,"lst" ,"pfx" ,"p12" ,"db1" ,"db2" , "cnt" ,"sig" ,"css" ,"arh" ,"pem" ,"key" ,"prf" ,"old" ,"rnd" ,"prx" и шифрует их с помощью алгоритма RSA. В дальнейшем автор вируса требует со своих жертв деньги за дешифровку. Свой адрес шантажист сообщает в файле readme.txt Some files are coded by RSA method. To buy decoder mail: ********34@rambler.ru with subject: RSA 5 68243170728578411 Специалисты антивирусной лаборатории компании «Доктор Веб» оперативно разработали специальную дешифрующую программу, позволяющую вернуть все пораженные троянцем файлы документов в первоначальное состояние. Мы предлагаем всем, кто столкнулся с вышеуказанной проблемой, обращаться в Службу технической поддержки компании «Доктор Веб» - Вам помогут совершенно бесплатно! Если у вас не очень много пораженных троянцем файлов, Вы можете их дешифровать прямо на нашем сервере. Для этого Вам надо загрузить сюда зашифрованный файл. Вы также можете сами воспользоваться этой программой, скачав ее с с нашего FTP сервера. Параметры командной строки: te_decrypt.exe имя_файла_который_требуется_дешифровать Обращаем внимание, что дешифрованный с помощью этой утилиты файл будет иметь первоначальное имя с добавленным к нему расширением .decr. Ссылка на страницу - _http://info.drweb.com/show/2746 __________________ Если я неправ, пусть старшие товарищи меня поправят...