Признаки заражения: Файлы зашифрованы, дополнительное расширение .decryptyoufiles@yahoo.com_enc, контактный email - decryptyoufiles@yahoo.com. Если у вас другой email или расширение - вам в другую тему.
Информация по трояну: Trojan.Encoder.225. Распространение этой модификации началось 25-26.07.2013. Распространяется, вероятно, через письма с doc-файлом, содержащим эксплоит к CVE2012-0158. В итоге через 1-2 промежуточных звена на машину попадает сам энкодер.
Расшифровка: Расшифровка производится в автоматическом режиме. Осуществляться будет в три этапа: подготовка - сбор необходимых данных. Около 20 минут. Затем атака на DES и в конце - на RC4. Сколько оно будет брутить я не знаю. Сложно оценить.
Криптография: RC4 (модифицированный) + DES.
Что необходимо сделать:
- озаботиться информационной безопасностью ваших машин.
- обратиться с заявлением о совершенном преступлении в правоохранительные органы.
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 зашифрованный doc-файл. Дожидаться ответа на Вашу почту сотрудника Dr.Web и далее следовать его указаниям.
Что НЕ нужно делать:
- менять расширение у зашифрованных файлов;
- использовать самостоятельно без консультации с сотрудниками Dr. Web любые программы для расшифровки/восстановления данных.
- Чистить или лечить машину чем либо: удалять/переименовывать какие-либо файлы, чистить почту, временные файлы и т.д.
Сообщение было изменено v.martyanov: 16 Август 2013 - 12:27