Признаки заражения: Файлы зашифрованы, дополнительное расширение *.zero@dbzmail.com_xxx, *.mambaee@aol.com_xxx, *.SOS@AUSI.com_AUxxx, *.SOS@TASMANIAN.COM_TAxxx где xxx - цифры-бувы. Если расширение отличается - вам в другую тему.
Информация по трояну: Trojan.Encoder.278.
Криптография: Модифицированный (неясно зачем!) Виженер. Полученные данные шифруются RSA. Итог накрывается модифицированным Виженером снова. Еще имеется косяк на файлах меньше 1 Кб...
Расшифровка: Возможно частичное восстановление doc, jpg и dbf-файлов. Проблемы будут с файлами меньше 1 Кб: в хвосте будет мусор :-(
Имеется полноценная расшифровка для следующих вариантов:
SOS@AUSI.com_AU1
SOS@AUSI.com_AU6
zero@dbzmail.com_IQ84
zero@dbzmail.com_IQ92
zero@dbzmail.com_IQ94 (пофикшено, точно расшифровываем!)
mambaee@aol.com_IQxxx, варианты IQ2, IQ5, IQ8, IQ11
SOS@TASMANIAN.COM_TA5
Что необходимо сделать:
- озаботиться информационной безопасностью ваших машин.
- обратиться с заявлением о совершенном преступлении в правоохранительные органы.
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 зашифрованный doc-файл. Дожидаться ответа на Вашу почту сотрудника Dr.Web и далее следовать его указаниям.
Что НЕ нужно делать:
- менять расширение у зашифрованных файлов;
- использовать самостоятельно без консультации с сотрудниками Dr. Web любые программы для расшифровки/восстановления данных.
- Чистить или лечить машину чем либо: удалять/переименовывать какие-либо файлы, чистить почту, временные файлы и т.д.
Сообщение было изменено v.martyanov: 18 Июль 2014 - 16:18
*.SOS@AUSI.com_xxx