Признаки трояна: Создан файл C:\crypt.txt, в нем указан email для связи с авторами muranchiki@yahoo.com, расширение файлов не менялось. Если хоть один признак не совпадает - вам в другую тему.
По состоянию на 19:40 (MSK) 19.04.2013 состояние следующее:
Распространение началось в районе 17 часов по Москве 18.04.2013. Незначительная модификация 215-го имя будет Trojan.Encoder.215. Расшифровка возможна в автоматическом режиме для многих случаев!
Рекомендации:
Скачать на пораженную машину ftp://ftp.drweb.com/pub/drweb/tools/te215decrypt.exe и запустить. Утилита создает КОПИИ файлов, соответственно у вас должно хватать места на дисках для них.
Если утилита не расшифровала файлы или расшифровала неправильно:
Пишите в свою заявку об этом. Если заявки нет - сообщите о проблеме в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ в категорию Запрос на лечение. Обязательно укажите сообщение, которое выдает утилита!
Что НЕ нужно делать:
- переустанавливать операционную систему;
- удалять или модифицировать C:\crypt.txt
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web любые дешифраторы, кроме te215decrypt.exe
- В случае неудачной расшифровки при помощи te215decrypt.exe пытаться решить проблему без консультации с вирусным аналитиком Dr. Web
Обновили утилиту te215decrypt. В версии 1.2.0 добавлена обработка коротких "Ваш ID".
Дело в том, что если трояну удается отправить ключ шифрования (уникальный для каждого случая заражения) на сервер злоумышленника, то в файл crypt.txt записывается только короткий ID. Если же по каким то причинам ключ не отправился, т.е. его нет у злоумышленника, то преобразованный ключ шифрования полностью записывается в файл crypt.txt.
Утилиту можно использовать в трех случаях:
1. У Вас в корне диска лежит файл C:\crypt.txt, в котором содержится либо короткий ID, либо ключ полностью. Тогда утилиту можно запустить без параметров.
2. Вы знаете короткий "Ваш ID". Тогда его можно указать параметром к утилите. Например: te215decrypt.exe B43E8423
3. Вы не знаете короткого "Ваш ID", но уверены что файлы зашифрованы Trojan.Encoder.215. Тогда вместо "Ваш ID" подставьте значение "серийного номера системного тома" (узнать его можно выполнив консольную команду dir).
Для некоторых ID расшифровка файлов возможна. Если же Вы знаете только короткий "Ваш ID" и после нажатия кнопки "продолжить" утилита выдаст сообщение "Неизвестный идентификатор" или "Ошибка обработки данных трояна", то расшифрока этой утилитой невозможна.
Сообщение было изменено userr: 24 Апрель 2013 - 16:35