WEB форумы на jedi
[Форум] [Помощь] [Поиск] [Выйти]
Добро пожаловать, [info]User

WEB форумы на jedi [ПОИСК] [Архив до 03.2006]

Тема Trojan.Encoder - RSA К предыдущему сообщению На следующее сообщение Взаимопомощь

Отправил Big в 19:48 27.01.2006[Ответить]
http://info.drweb.com/show/2746?lng=ru

27 января 2006 года

За последние сутки в Службу вирусного мониторинга компании "Доктор Веб" поступило несколько обращений от пользователей, файлы документов которых оказались закодированы неизвестным вирусом. Кроме зашифрованных и поэтому недоступных для прочтения файлов все жертвы вируса обнаружили на своих дисках многочисленные копии файла readme.txt, в котором содержалось сообщение о том, что файлы пользователя зашифрованы и предлагалось обратиться с письмом на указанный адрес электронной почты для расшифровки файлов.
...
Троянец активируется, используя уязвимость операционной системы. Поселившись на компьютере жертвы, программа ищет файлы со следующими расширениями:

"rtf" ,"txt" ,"pdf" ,"csv" ,"frm" ,"css" ,"xls" ,
"mdb" ,"dbf" ,"dbt" ,"db" ,"safe" ,"flb" ,"pst" ,"pwl" ,"pwa" ,"pak" ,"rar" ,
"zip" ,"arj" ,"gz" ,"tar" ,"sar" ,"htm" ,"html" ,"cgi" ,"pl" ,"kwm" ,"pwm" ,
"cdr" ,"dbx" ,"mmf" ,"tbb" ,"xml " ,"frt" ,"frx" ,"gtd" ,"rmr" ,"chm" ,"mo" ,
"man" ,"c" ,"cpp" ,"h" ,"pgp" ,"gzip" ,"lst" ,"pfx" ,"p12" ,"db1" ,"db2" ,
"cnt" ,"sig" ,"css" ,"arh" ,"pem" ,"key" ,"prf" ,"old" ,"rnd" ,"prx"
и шифрует их с помощью алгоритма RSA. В дальнейшем автор вируса требует со своих жертв деньги за дешифровку. Свой адрес шантажист сообщает в файле readme.txt

Some files are coded by RSA method.
To buy decoder mail: ********34@rambler.ru
with subject:  RSA 5 68243170728578411

Специалисты антивирусной лаборатории компании "Доктор Веб" оперативно разработали специальную дешифрующую программу, позволяющую вернуть все пораженные троянцем файлы документов в первоначальное состояние.

Вы также можете сами воспользоваться этой программой, скачав ее с с нашего FTP сервера: ftp://ftp.drweb.com/pub/drweb/windows/te_decrypt.exe
Параметры командной строки:

te_decrypt.exe имя_файла_который_требуется_дешифровать

PS: Если файлов много, то можно заюзать батник:
---- begin "decrypt.bat" ----
for /R %%f in (*.*) do te_decrypt.exe "%%f"
for /R %%i in (*.decr) do move "%%i" "%%~dpni"
---- end "decrypt.bat" ----
- сначала выполняется проход от текущего каталога по всем его подкаталогам с вызовом декриптора для всех файлов;  затем аналогичный проход переписывает все найденные файлы с именами вида "имя_файла.decr" в файлы "имя_файла"

ну и вот ещё: http://www.drweb.com/urled/trojan_encoder_decrypt