Признаки заражения: файлы зашифрованы, добавлено добавочное расширение вида *.id-1234567890_decrypt@india.com, *.id-1234567890_com@darkweider.com, *.id-1234567890_decode@india.com, *.id-1234567890_help@antivirusebola.com, *.id-1234567890_marineelizz@inbox.com или *.id-1234567890_protectdata@inbox.com (цифры могут быть другими!!!). Если у вас другого типа расширения - вам в другую тему.
Информация по трояну: Trojan.Encoder.741, автор - Корректор (он же написал 102-го, 293-го энкодера и кучу их вариантов). Распространение началось 07.08.2014. Вариант *.id-*_help@antivirusebola.com начал распространяться 20.08.2014, вариант protectdata@inbox.com - 21-22.01.2015
Криптография: AES-128 (AES-256 с середины декабря 2014) в самых простых вариантах. Ключи шифрования получает с серверов.
Расшифровка: Имеется в техподдержке. К сожалению, не для всех случаев, но для большинства. Вариант protectdata@inbox.com в силу ошибок в генетическом коде его автора портит файлы меньше 30000 байт, так что будут проблемы с ними.
Что необходимо сделать:
- озаботиться информационной безопасностью ваших машин.
- обратиться с заявлением о совершенном преступлении в правоохранительные органы.
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 зашифрованный doc-файл. Дожидаться ответа на Вашу почту сотрудника Dr.Web и далее следовать его указаниям.
Что НЕ нужно делать:
- использовать самостоятельно без консультации с сотрудниками Dr. Web любые программы для расшифровки/восстановления данных.
- Переименовывать зашифрованные файлы.
Сообщение было изменено v.martyanov: 26 Январь 2015 - 13:07