Если ваши файлы зашифрованы троянцем семейства encoder

Обновлено: 04.07.2024

Мы в:

Данная статья написана ведущим программистом нашей компании Михеевым Алексеем.
Надеемся, что информация, изложенная ниже поможет вам избежать серьезных последствий заражения вирусом-шифровальщиком.
Итак, приступим.

Троянцы шифровальщики семейства Trojan.Encoder появились в 2006-2007 году
На данный момент существует около 1000 разновидностей.
Самые совершенные троянцы используют проверенные временем и стойкие к атаке алгоритмы.
Например, чтобы восстановить файлы зашифрованные трояном Encoder.741 путем простого перебора потребуется 107902838054224993544152335601 год.
По данным компании Dr.Web расшифровка возможна только в 10% случаев.
Есть разновидности, которые уже успешно расшифровываются:
Трояны - Trojan.Encoder.94, Trojan.Encoder.293
при заражении которыми возможно восстановление файлов в 90% случаев.
Но, например, троянцы модификации Trojan.Encoder.556, Trojan.Encoder.686, Trojan.Encoder.858 вообще не позволяют восстановить файлы.

Бывает, что некоторые создатели шифровальщиков после оплаты не способны расшифровать файлы зашифрованные их детищем и отправляют их в техподдержку компании Dr.Web, которая имеет высокие результаты по восстановлению файлов.

Как происходит заражение.
Жертва заражается через спам-письмо с вложением (реже инфекционным путем).
Вложение представляет собой архив, в котором:
-либо файл-заставка с расширением scr., который при запуске распаковывает из себя файлы шифровальщики.
-либо может быть js (ява-скрипт) файл, который скачивает все необходимое с сервера злоумышленников по интернету при запуске.
Последнее развитие шифровальщиков хранит все необходимое сразу во вложении в зашифрованном виде для создания проблемы антивирусам.

В архиве файлы маскируются под doc, xls, pdf, jpg и другие файлы.
Длину имени файла выбирают таким образом, чтобы при стандартных настройках окна архиватора было видно - <название файла>.doc, а продолжение названия, где написано второе расширение (js, exe, scr, com) не видно пока не прокрутишь скролл.

Но вот иконка файла внутри архива показывается из расчета настроек системы.
Подделать ее возможно, только если предварительно заразить атакуемый компьютер и подменить иконку отображения файлов scr и js на иконки word или excel файлов.

Примеры вложений:

Чаще всего потенциально вредоносный файл размещают в архиве, т.к. файлы, которые могут исполняться в системе - почтовые системы не пропускают.

Вот что может быть в архиве:

Более изощренные способы вложений:

В данном случае вложением является word-файл, а в нем уже находится вредоносный объект OLE (Object Linking and Embedding, произносится как oh-lay [олэй]), который предлагается открыть из документа word. Подробнее об OLE.

Если бы это действительно было резюме, то его приложили бы сразу.
Такой файл лучше показать сисадмину.

В данном случае пытаются решить проблему корректного отображения текста макросами, но здесь проблема шрифта. Такой файл также стоит показать сисадмину. Такой способ обработки файла вполне может быть и легальным.

Как они работают:

Не шифрует файлы в следующих каталогах:

$RECYCLE.BIN, Windows,Program Files (x86), Program Files, Games, ProgramData, UpdatusUser, AppData, Application Data, Cookies, Local Settings, NetHood, PrintHood, Recent, SendTo, Главное меню, Поиски, Ссылки, System Volume Information, Recovery, NVIDIA, Intel, DrWeb Quarantine, Config.Msi, All Users, Все пользователи.

Шифрует следующие типы файлов: ak|.BAK|.rtf|.RTF|.pdf|.PDF|.mdb|.MDB|.b2|.B2|.mdf|.MDF|.accdb|.ACCDB|.eap|.EAP|.swf|.SWF|
.svg|.SVG|.odt|.ODT|.ppt|.PPT|.pptx|.PPTX|.xps|.XPS|.xls|.XLS|.cvs|.CVS|.dmg|.DMG|.dwg|.DWG|
.md|.MD|.elf|.ELF|.1CD|.1cd|.DBF|.dbf|.jpg|.JPG|.jpg|.JPEG|.psd|.PSD|.rtf|.RTF|.MD|.dt|.DT|
.cf|.CF|.max|.MAX|.dxf|.DXF|.dwg|.DWG|.dds|.DDS|.3ds|.3DS|.ai|.AI|.cdr|.CDR|.svg|.SVG|
.txt|.TXT|.csv|.CSV|.7z|.7Z|.tar|.TAR|.gz|.GZ|.bakup|.BAKUP|.djvu|.DJVU|

Вредоносная программа может использовать следующие алгоритмы шифрования (в указанном порядке):
1. DES
2. RC2
3. RC4
4. RC5
5. RC6
6. 3DES
7. Blowfish
8. AES (Rijndael)
9. ГОСТ 28147-89
10. IDEA
11. Tea
12. CAST-128
13. CAST-256
14. ICE
15. Twofish
16. Serpent
17. MARS
18. MISTY1

После первоначального цикла шифрования всех дисков запускается второй цикл, в котором троянец шифрует базы данных 1С в каталогах Program Files и Program Files (x86).

Список расширений шифруемых файлов:
|.dbf|.DBF|.1cd|.1CD|.dt|.DT|.md|.MD|.dds|.DDS|

Шифровальщик BAT.Encoder.18
Троянец-шифровальщик, распространяющийся под видом вложенного в электронные письма резюме. Представляет собой инсталляционный пакет NSIS. После запуска извлекает на компьютер пользователя следующие файлы:
• csrss.bat – основной файл троянца;
• svchost.exe – переименованная утилита GPG;
• iconv.dll - библиотека для работы GPG;
• pubring.bak - данные для GPG;
• pubring.gpg - данные для GPG;
• random_seed - данные для GPG;
• secring.gpg - данные для GPG;
• trustdb.gpg - данные для GPG.
csrss.bat удаляет директорию %APPDATA%\gnupg\, уничтожая тем самым уже установленную утилиту GPG. Затем повторно создает каталог %APPDATA%\gnupg\ и копирует в него файлы pubring.bak, pubring.gpg,random_seed, secring.gpg, trustdb.gpg.
После этого троянец начинает процесс шифрования данных, для чего перебирает все диски, кроме диска A, и зашифровывает найденные на них файлы. Полученные в итоге файловые объекты имеют расширение *.gpg, которое заменяется на *.pzdc.

Также есть шифровальщик, который шифрует файлы и меняет расширение на vault.
Такой шифровальщик, попадая на компьютер пользователя, скачивает также утилиту GPG и создает уникальный ключ для компьютера. Этот ключ отправляется на сервер злоумышленников расположенный за территорией РФ.
Затем шифровальщик сканирует диск и шифрует документы и картинки пользователя на локальном диске. При шифровании он составляет список зашифрованных файлов и также отправляет их на сервер злоумышленников.

Сервер злоумышленников находится в защищенной сети TOR.
Стоимость восстановления зависит от количества файлов и считается в биткойнах (один из видов крипто-валюты (от Bitcoin: англ. bit — бит и coin — монета)). Согласно уникальному ключу присланному троянцем злоумышленники могут идентифицировать каждый зараженный ПК и посчитать стоимость ущерба в каждом конкретном случае.

Виды шифрования:

Шифрование с помощью операции "XOR"
Начнем с программ, осуществляющих самое примитивное шифрование. Ярким представителем таких вредоносных программ является семейство Trojan-Ransom.Win32.Xorist. Оно обладает следующими характерными особенностями:

• Xorist – один из немногих шифровальщиков, который выполняет свою угрозу и портит файлы пользователя при многократном неправильном введении пароля.
• Для шифрования используется операция "XOR". Уязвимостью этой криптосхемы является то, что возможно легкое дешифрование файлов за счет известных стандартных заголовков файлов. Чтобы противостоять этому, Xorist шифрует файлы не с самого начала, а с некоторым отступом. По умолчанию этот отступ составляет 104h байт, но может быть изменен при компиляции вируса.
• Для усложнения алгоритма шифрования используется рандомизация ключа с помощью первой буквы названия файла.

Фрагмент файла, зашифрованного шифровальщиком из семейства Xorist: отчетливо видна размерность ключа в 8 байт.

Симметричное шифрование.
Симметричной схемой шифрования называется схема, при которой для шифрования и расшифровывания используется пара ключей, связанных соотношением симметрии (именно поэтому такая схема называется симметричной). В подавляющем большинстве случаев в таких схемах для шифрования и расшифровки используется один и тот же ключ.
Если ключ "вшит" в тело шифровальщика, то при наличии тела трояна (т.е. сохранился сам экземпляр вируса) можно достать из него ключ и создать эффективную утилиту для расшифровывания файлов. Такие вредоносные программы обычно стараются удалить сами себя после шифровки файлов. Примером программ этого типа могут служить некоторые модификации семейства Rakhni.

Если же ключ получается с сервера злоумышленников либо генерируется и отправляется на него, то наличие образца вредоносной программы мало что дает – необходим экземпляр ключа, находящегося на сервере злоумышленников. Если такой ключ удается восстановить (вредоносная программа, по понятным причинам, старается удалить такой ключ после использования), то создать утилиту для дешифровки возможно. В этом случае также могут оказаться полезными системы, кэширующие интернет-трафик пользователей.

Асимметричное шифрование
Асимметричной схемой шифрования называется схема, при которой ключи шифрования и расшифровки не связаны очевидным соотношением симметрии. Ключ для шифрования называют открытым (или публичным), ключ для расшифровывания называют закрытым (или приватным). Вычисление закрытого ключа по известному открытому – очень сложная математическая задача, не решаемая за разумный срок на современных вычислительных мощностях.
В основе асимметричных криптосхем лежит так называемая однонаправленная функция с секретом. Говоря простым языком – это некая математическая функция, зависящая от параметра (секрета). Если секретный параметр не известен, значение функции относительно легко вычисляется в "прямом" направлении (по известному значению аргумента вычисляется значение функции) и чрезвычайно трудно вычисляется в "обратном" (по значению функции вычисляется значение аргумента).

Способы защиты:

А также Вы можете обратиться в нашу компанию за консультацией. Специалисты «Технограда» дадут все необходимые рекомендации по повышению сетевой безопасности, а также профессионально внедрят продукты для решения данной задачи.

Троянцы семейства Encoder «прославились» тем, что шифруют данные на компьютере жертвы. Эти данные можно попытаться восстановить. Если вы являетесь пользователем продуктов Dr.Web, как можно скорее обратитесь в службу технической поддержки «Доктор Веб».

Не пользуйтесь зараженным компьютером до получения инструкций от службы поддержки «Доктор Веб» — даже если в нем есть острая (производственная) необходимость!
Не пытайтесь переустановить систему!
Не пытайтесь удалить с диска какие-либо файлы или программы!
Если вы запустили антивирусное сканирование, нельзя предпринимать никаких необратимых действий по лечению/удалению вредоносных объектов. Прежде чем что-то делать с найденными вирусами/троянцами, следует проконсультироваться со специалистом «Доктор Веб» или в крайнем случае сохранить копии всех найденных вредоносных программ — это может потребоваться для определения ключа для расшифровки данных.

Как составить запрос в поддержку «Доктор Веб»

Служба поддержки «Доктор Веб» оказывает бесплатные услуги по расшифровке только владельцам действующих коммерческих лицензий Dr.Web Security Space и Антивируса Dr.Web версий 9-11, Dr.Web KATANA (от 12 мес.), Антивируса Dr.Web по подписке версии 10 (тарифные пакеты Dr.Web Премиум и Dr.Web Классик) и Dr.Web Enterprise Security Suite (от 6 мес.), у которых на момент заражения был установлен Dr.Web.
Заполните форму запроса на странице.
Сообщите как можно больше информации о том, как произошло заражение, в том числе требования злоумышленников. Если есть хоть какие-то подозрения о том, запуск чего послужил причиной срабатывания троянца, приложите к запросу соответствующие файлы или ссылки.
Прикрепите к комментарию в запросе несколько зашифрованных файлов (по возможности, разных типов и размеров: jpg, zip, doc, pdf и т. п.) и требования злоумышленников о перечислении денежных средств.
Если троянец был получен по электронной почте (часто письма с такими троянцами имитируют письмо из банка с уведомлением о каких-то проблемах) и вы не удалили это письмо — сохраните письмо в eml-файл и прикрепите этот файл к комментарию в запросе.

Настоятельно рекомендуем обратиться с заявлением в полицию.

Против вас совершено противоправное действие — могут присутствовать признаки преступлений, предусмотренных ст. 159.6, 163, 165, 272, 273 УК РФ.

Для возбуждения в отношении злоумышленников уголовного дела правоохранительным органам необходим процессуальный повод — ваше заявление о преступлении.

Приготовьтесь к тому, что ваш компьютер будет изъят на какое-то время на экспертизу.

Если у вас откажутся принять заявление — получите письменный отказ и обращайтесь с жалобой в вышестоящий орган полиции (к начальнику полиции вашего города или области).

Сейчас, когда данный вид вымогательства стал сильно популярен, любителям кликать по всем ссылкам без разбора остается только пожелать удачи. Впрочем, только безвозвратно потеряв важные файлы и можно научить людей делать резервные копии и думать, прежде чем открыть очередной мега-ускоритель-интернета, узнать секретный способ сказочного обогащения не отрывая жопы от стула или скачать супер-сжигатель жира с беспроигрышного интернет-казино.

Буквально месяц назад писал об одном из способов распространения данной заразы с помощью поддельных писем из арбитражного суда. Прошло чуть более года с того момента когда я впервые столкнулся с вирусами шифровальщиками и на тот момент не было вообще никаких инструментов, дающих хоть какой-то шанс на восстановление данных.

Сейчас уже есть некоторые позитивные сдвиги в борьбе с вымогателями, однако это всё-равно большая лотерея. Компания DrWeb продолжает оказывать бесплатные услуги по расшифровке (если есть возможность), однако с 19 июня 2013 года к рассмотрению принимаются только заявки от владельцев коммерческих лицензий на продукты Dr.Web. Привожу ссылку, по которой можно подать заявку:

Один мой знакомый попросил помочь ему в расшифровке файлов, зашифрованных накануне. Вот и решил проверить работу службу DrWeb, надо сказать что ответ пришел довольно быстро (буквально через пару часов) правда и не утешительный:

Добрый день!
Благодарим за обращение в техническую поддержку "Доктор Веб".

Файлы зашифрованы одним из новых вариантов троянской программы Trojan.Encoder.293

На данный момент у нас нет способа их расшифровать. Также, увы, нет никакой надежды, что кто-либо сможет подобрать/вычислить ключ для расшифровки - эффективных алгоритмов факторизации для шифра RSA современной науке не известно.

Ключ для расшифровки данных, зашифрованных Encoder.102, можно получить/изъять только у автора троянца.

Таким образом, основная рекомендация: обратитесь с заявлением в территориальное управление "К" МВД РФ по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.

Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и выяснят у него шифроключ.

Существует возможность частичного восстановления (реконструкции) некоторых файлов, зашифрованных encoder.293, без их расшифровки (расшифровка без приватной половины ключевой пары невозможна). Только некоторых, и только частично.

Фактически такой подход основывается на том, что шифровщик типа Encoder.102/293 вносит в файл относительно немного изменений. И т.к. в данные внесено относительно немного изменений, локализованных в известных местах файла, то на это можно посмотреть просто как на повреждение файла, которое, возможно, поддается исправлению. При этом следует иметь в виду, что реконструированный файл никогда не возвращается в исходное, как было до зашифровки, состояние.

Особенно актуально для офисных doc/xls, в которых после реконструкции могут измениться данные на первых страницах. Было написано 100, а станет 500 - такое запросто может случиться.

Наша утилита, которая кое-что умеет делать в этом плане:

- так деятельность реконструктора ограничится только тем, что найдется в указанном каталоге D:\Path

Результаты сохраняются в новые файлы по принципу:

"документ.doc.SOS@AUSI.COM_FG177" (зашифрованный) => "документ.doc" (реконструированный)

С учетом этого требуется дополнительное свободное место на диске. В лучшем случае te102decrypt сможет восстановить кое-что из файлов формата jpg/doc/xls/dbf (часть данных может быть потеряна, но количество потерь сведено к минимуму). Не более того.

Что касается зашифрованных zip-архивов. То, что можно из них вытащить без расшифровки, способен вытащить архиватор 7zip. Непосредственно распаковать прямо из зашифрованных. В данном случае должно быть возможно вытащить из зашифрованного zip-архива все файлы, кроме первого, и, быть может, еще нескольких из начала архива. Пока это всё, чем мы можем вам помочь.

С уважением, служба технической поддержки компании "Доктор Веб".

Список известных шифровальщиков можно посмотреть на форуме DrWeb (постоянно дополняется). Так что есть шанс, что ваш шифровальщик уже известен и к нему имеется дешифратор: Яндекс.Дзен и узнавайте первыми о новых материалах, опубликованных на сайте.

Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.

Загадочный IPsec Отзыв пользовательских сертификатов OpenVPN на FreeBSD 10/11 [Скрытая угроза] Майнеры криптовалют в браузерах. Программа-криптовымогатель шифрует пользовательские файлы в «оффлайне» ping не является внутренней или внешней командой. Как удалить Avast! с компьютера

Комментариев: 4

Честно говоря, не знаком с системами шифрования, но мне кажется что зловредная программа-шифровщик должна содержать в себе метод шифрования.

В том и проблема, что без ключа вы вряд-ли дешифруете файлы. Как такового вирусного кода там нет, пользователь практически всегда самостоятельно запускает шифровальщика. Кроме того, после выполнения, сама программа в большинстве случаев удаляется с компьютера.

После завершения упаковки файлов вирус, обычно, сообщает нам о шифровке файлов, а также рекомендациям по их дешифровке. Под рекомендациями имеются в виду способы оплаты злоумышленнику. Может быть создан файл на диске С под названием: КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt или возникнуть картинка на рабочем столе, сообщающая о зашифровке файлов.

Подавляющее число таких вирусов Шапокляк живут не более 3-5 дней. Первые два дня предоставляются для поиска жертв и на внесение его в базу антивирусника. Затем злоумышленник изменяет код вируса и запускает новую модификацию. Такой цикл повторяется постоянно.

Как удалить Trojan.Encoder

Trojan.Encoder это вирус обнаружен несколько антивирусной и анти-вредоносного программного обеспечения поставщиков. В Trojan.Encoder эвристическое обнаружение классифицируется как вирус потому что это наносит и действует как вредоносного угрозы на вашем Windows ХР, Windows Vista, Windows 7, Windows 8 или 10 Windows компьютерной системы.

Trojan.Encoder изменяет системные файлы, новые папки добавить, создает Windows задачи и добавляет файлы для заражения и взлома компьютерной системы. Trojan.Encoder-это вирус, который загружается или упал на вашем компьютере во время серфинга в интернете. Большинство пользователей понятия не имеют, как эту угрозу Trojan.Encoder установлена на их компьютере, пока их антивирусные программы определяют ее как вредоносную угрозу, вредоносных программ или вирусов.

Используйте средство удаления вредоносных программ Spyhunter только для целей обнаружения. Узнайте больше о SpyHunter Spyware Detection Tool и шаги для удаления SpyHunter.

Если ваша защита обнаруживает вирус Trojan.Encoder, не помеченных на удаление по умолчанию. Он определяется как вредоносный и посоветовал удалить Trojan.Encoder с вашего компьютера.

Шаг 1: Остановите все Trojan.Encoder процессы в диспетчере задач

Нажмите и удерживайте Ctrl + Alt + Del, чтобы открыть диспетчер задач
Перейдите на вкладку Подробности и конец всех связанных с ними процессов Trojan.Encoder (выберите процесс и нажмите кнопку завершить задачу)

Шаг 2: Удалите Trojan.Encoder сопутствующие программы

Шаг 3: Удалите вредоносные Trojan.Encoder записи в системе реестра

Нажмите Win + R чтобы открыть выполнить, введите «regedit» и нажмите кнопку ОК

Шаг 4: Устранить вредоносные файлы и папки, связанные с Trojan.Encoder

Шаг 5: Удаление Trojan.Encoder из вашего браузера

Internet Explorer

Запуск Internet Explorer, нажмите на значок шестерни → Управление надстройками

Mozilla Firefox

Откройте Mozilla, нажмите сочетание клавиш Ctrl + Shift + A и перейти к расширения

Google Chrome

Откройте браузер, нажмите меню и выберите инструменты → расширения

* SpyHunter сканера, опубликованные на этом сайте, предназначен для использования только в качестве средства обнаружения. более подробная информация о SpyHunter. Чтобы использовать функцию удаления, вам нужно будет приобрести полную версию SpyHunter. Если вы хотите удалить SpyHunter, нажмите здесь.

Лечение и устранение вируса

Лечить вирус старуха шапокляк крайне сложно, но возможно. К сожалению, на сегодняшний день антивирусные компании не предоставляют полноценно-работающего средства для устранения последствий безжалостного троянца. К примеру, лаборатория Касперского способна предоставить дешифратор. Но даже он способен помочь далеко не во всех случаях. Стоит заметить, что такой дешифратор не в состоянии был расшифровать базы для 1C 8 версии, зашифрованные вирусом.

Наша компания настоятельно рекомендует не бороться с подобной проблемой самостоятельно. Пользователь может быть подвержен риску раз и навсегда потерять нужные данные. Самостоятельное удаление вируса и его компонентов способствует усложнению дальнейшей расшифровки файлов. Наши специалисты грамотно смогут подобрать дешифратор индивидуально для каждого вида подобного вируса и способны помочь восстановить зашифрованные документы. К тому же стоимость восстановления обойдется значительно дешевле, нежели та которую вымогают злоумышленники.

«Доктор Веб»: описание Trojan.Encoder.11432 ( WannaCry ).

Значительная часть дроппера представляет собой защищенный паролем ZIP-архив, в котором хранятся следующие файлы:
b.wnry — файл с обоями Рабочего стола Windows;c.wnry — файл содержит адреса onion-серверов и адрес BTC-кошелька;t.wnry — зашифрованный файл, содержащий троянца-энкодера. Ключ для расшифровки хранится в самом файле;s.wnry – архив, содержащий ПО для работы с сетью Tor.
После запуска пытается установить себя в следующие папки: %SYSDRIVE%\ProgramData (если папка существует)
%SYSDRIVE%\Intel%SYSDRIVE%%TEMP%
При установке создает соответствующую папку, а в ней – вложенную папку со случайным именем, затем создает в этой папке собственную копию с именем tasksche.exe. Пытается запустить свою копию в виде системной службы со случайным именем. Если попытка не удается, создает системную службу, регистрирует в ней запуск собственной копии с использованием вызова командного интерпретатора («cmd.exe /c path») и запускает эту службу. В случае неудачи запускается как обычное приложение. При запуске в режиме приложения дроппер пытается записать в ветви системного реестра HKLM\Software\WanaCrypt0r или HKCU\Software\WanaCrypt0r путь и имя своей текущей директории. Распаковывает содержимое архива в свою текущую папку, сохраняет в файл c.wncry один из трех возможных адресов BTC-кошельков. Открывает доступ к рабочему каталогу всем пользователем системы и устанавливает для него атрибут «скрытый». Затем извлекает из файла t.wnry троянца-энкодера, расшифровывает его и запускает на выполнение.

Троянец-шифровальщик

Энкодер хранится в отдельной динамической библиотеке. Он шифрует файлы с использованием алгоритма AES-128. С помощью функции CryptGenKey энкодер создает RSA-пару, публичная часть сохраняется в файле 00000000.pky, приватная – шифруется авторским публичным ключом и сохраняется в файле 00000000.eky. Ключ генерируется для каждого шифруемого файла с использованием функции CryptGenRandom. В зашифрованном файле сохраняется:
маркер (8 байт): WANACRY!;длина зашифрованного ключа (4 байта);зашифрованный ключ (256 байт);информация о типе шифрования (4 байта);исходный размер файла (8 байт);зашифрованные данные.
В процессе шифрования создается список файлов, которые могут быть расшифрованы в тестовом режиме. Он сохраняется в файле f.wnry. Сессионный AES-ключ для расшифровки тестовых файлов шифруется вторым RSA-ключом, приватная часть которого хранится в теле троянца.

Шифровальщик содержит авторский декодер, который выполняет следующие функции: установка обоев рабочего стола из файла b.wnry;
удаление теневых копий;отключение функции восстановления системы;распаковка ПО для работы с Tor из файла s.wnry или скачивание его с сайта, адрес которого хранится в файле, зашитом в c.wnry.
Декодер способен воспринимать следующие параметры командной строки (без аргументов):
fi — извлекает ПО для работы с Tor, устанавливает соединение с портом 80 onion-серверов, указанных в конфигурации. Получает от них адрес кошелька BTC и сохраняет его в конфигурации;co — читает из res-файла данные о начале шифрования и, предположительно, отправляет их на onion-сервер;vs — удаляет теневые копии и отключает восстановление системы.
Для обмена данными с onion-серверами Trojan.Encoder.11432 использует собственный протокол. К сожалению, в настоящее время расшифровка поврежденных троянцем файлов не представляется возможной. ________________________________________

⇒ Рекомендуемый продукт: Dr.Web Enterprise Security Suite
Централизованная защита всех узлов корпоративной сети.. от 400 руб/год. Подробнее>> ________________________________________
Сетевая активность

Читайте также: