ランサムウェアウイルス。 ビッグ記事

ニュース「注意。 Trojan.Encoder.225ランサムウェアウイルス ''特定のTrojan.Encoder.225ウイルスについて詳細に説明しましたが、その時点で解読の決定は得られませんでした。

しかし、後で（復号化の開始後3週間以上）、状況は良くなりました。 この期間中、異なるPCでTrojan.Encoder.225とTrojan.Encoder.263の2つのウイルスが発生した直後に、データを正常に解読しました。



思い出してください 。Trojan.Encoderファミリーのトロイの木馬は、コンピューターのハードドライブ上のファイルを暗号化し、それらを解読するためにお金を必要とする悪意のあるプログラムです。 * .mp3、* .doc、* .docx、* .pdf、* .jpg、* .rarなどのファイルは暗号化されている場合があります。

個人的にこのウイルスのファミリー全体を知ることはできませんでしたが、実践が示すように、感染、治療、解読の方法は誰でもほぼ同じです。

1.被害者は、添付ファイル付きのスパムメールを介して感染します（感染による頻度は低い）。

2.ウイルスは、最新のデータベースを備えたほとんどすべてのウイルス対策ソフトウェアによって認識され、削除されます（既に）。

3.ファイルは、使用する暗号化の種類に合わせてパスワードとキーを選択することにより復号化されます。

たとえば、Trojan.Encoder.225はRC4暗号化（変更）+ DESを使用し、Trojan.Encoder.263はCTRモードでBlowFishを使用します。 これらのウイルスは現在、個人的な慣行に基づいて99％で解読されています。



しかし、すべてがそれほどスムーズではありません。 暗号化ウイルスの中には、数か月の継続的な復号化（Trojan.Encoder.102）を必要とするものもあれば、Doctor Webスペシャリストでさえ実際には復号化できないもの（Trojan.Encoder.283）もあります。 。



順番に。



2013年8月上旬、Trojan.Encoder.225ウイルスで暗号化されたファイルの問題についてクライアントからアプローチされました。 当時、このウイルスは新しいものであり、誰も何も知りません。インターネット上には、インターネット上にGoogleからの2〜3件のリンクがあります。 インターネットで長時間検索した結果、このウイルスの後にファイルを復号化する問題に対処する唯一の（見つかった）組織はDoctor Webであることがわかりました。 つまり、推奨事項の提示、テクニカルサポートへの問い合わせ、独自のデコーダーの開発などを行います。



負の後退。



そして、この機会を利用して、カスペルスキーの2つのマイナス面に注目したいと思います。 テクニカルサポートに連絡すると、「この問題に取り組んでいます。結果をメールで通知します」と却下します。 しかし、マイナスは、リクエストに対する応答を受け取ったことがないことです。 4ヶ月後。 「ホースラディッシュ」も反応時間を想像しません。 そして、ここで私は「アプリケーションから1時間以内」という標準を目指しています。

カスペルスキー研究所長のエフゲニー・カスペルスキー同志の恥ずべきことです。 しかし、私はすべての企業のかなりの半分がそれに「座って」います。 まあ、大丈夫、ライセンスは2014年1月から3月に失効します。 言うまでもなく、ライセンスを更新しますか？;）



私は、アンチウイルス業界の非ジャイアントの、いわば「単純な」企業の「専門家」の顔を表しています。 おそらく一般的には、「隅に隠れている」と「静かに泣いた」。

しかし、すでにそこにあるものは、絶対に誰もが最大限に「間違った」。 ウイルス対策は、原則として、このウイルスがコンピュータに侵入することを許可すべきではありませんでした。 特に現代の技術を考慮しています。 そして、アンチウイルス業界のGIANTSの「それら」は、「ヒューリスティック分析」、「プリエンプティブシステム」、「プロアクティブな防御」のすべてが押収されたと思われます...



これらのすべてのスーパーシステムは、従業員部門がトピック「SUMMARY」で「安全な」レターを開いたときにどこにありましたか？

従業員は何を考えていたのでしょうか？

あなたが私たちを守ることができないなら、なぜ私たちはあなたが必要なのでしょうか？



そして、Doctor Webなら何でも問題ありませんが、助けを得るためには、当然、ソフトウェア製品のライセンスが必要です。 テクニカルサポート（以下TP）に連絡する場合、Dr.Webシリアル番号を提供する必要があります。「Request Category：」行で「治療リクエスト」を選択するか、単に暗号化ファイルをラボに提供することを忘れないでください。 インターネット上にバッチで配置されたいわゆる「Dr.Webジャーナルキー」は、ソフトウェア製品の購入を確認せず、TPスペシャリストによって1つか2つ削除されるため、適切ではないことをすぐに言わなければなりません。 最も「安い」ライセンスを購入する方が簡単です。 復号化を行った場合、このライセンスは「数百万」の時間で報われるからです。 特に写真「Egypt 2012」のあるフォルダが1つのコピーに含まれていた場合...



試行番号1



そのため、n個の金額で「1年間2台のPCのライセンス」を購入し、TPに連絡していくつかのファイルを提供すると、te225decrypt.exe復号化ユーティリティバージョン1.3.0.0へのリンクが得られました。 成功を見越して、ユーティリティを実行します（暗号化された* .docファイルのいずれかをポイントする必要があります）。 ユーティリティは選択を開始し、古いE5300 DualCoreプロセッサ、2600 MHz（オーバークロック3.46 GHz）/ 8192 MB DDR2-800、HDD 160Gb Western Digitalを90-100％に容赦なくロードします。

ここでは、私と並行して、コアi5 2500k PC（4.5ghzへのオーバークロック）/ 16 ram 1600 / ssd Intelの同僚が作業に含まれています（これは記事の最後に費やした時間を比較するためです）。

6日後、私のユーティリティは7277ファイルの復号化について報告しました。 しかし、幸福は長くは続かなかった。 すべてのファイルは「不正に」解読されました。 つまり、たとえば、Microsoft Officeドキュメントは開きますが、「* .docxドキュメントのコンテンツに含まれるWordが見つかりませんでした」または「コンテンツのエラーにより* .docxファイルを開けません」というエラーが発生します。 * .Jpgファイルもエラーで開くか、画像の95％が黒く表示されるか、背景が薄緑-緑になります。 ファイル* .rar-「アーカイブの予期しない終了。」

一般的に、完全な障害。



試行番号2



結果についてTPに書き込みます。 いくつかのファイルを要求します。 1日後、彼らは再びte225decrypt.exeユーティリティへのリンクを提供しますが、すでにバージョン1.3.2.0です。 さて、立ち上げましょう、まだ代替手段はありませんでした。 約6日かかり、ユーティリティは「暗号化設定を選択できません」というエラーで作業を終了します。 合計13日間の「排水溝」。

しかし、アカウント上で、基本バックアップなしの*愚かな*クライアントの重要なドキュメントをあきらめません。



試行番号3



結果についてTPに書き込みます。 いくつかのファイルを要求します。 そして、ご想像のとおり、1日後には同じte225decrypt.exeユーティリティへのリンクが提供されますが、すでにバージョン1.4.2.0が提供されています。 それでは、カスペルスキーラボ、ESET NOD32、または他のウイルス対策ソリューションメーカーからの代替品はありませんでした。 そして今、5日3時間14分（123.5時間）後に、ユーティリティはファイルの復号化を報告します（コアi5復号化の同僚は21時間10分しかかかりませんでした）。

まあ、そうではなかったと思う。 そして見よ：完全な成功！ すべてのファイルが正しく復号化されます。 すべてが適切に開き、閉じ、外見、編集、保存されます。



みんな幸せです、終わり。



「そして、Trojan.Encoder.263ウイルスについての話はどこにありますか？」と、あなたは尋ねます。 そして次のPCでは、テーブルの下に...があった。 ここではすべてが簡単でした。DoctorWebのTPで記述し、te263decrypt.exeユーティリティを取得して起動し、6.5日間待機します。 要約すると、編集オフィスのDoctor Webフォーラムからいくつかのヒントを提供できます。



暗号化ウイルスに感染した場合に行う必要があること：

-ウイルス研究所に送ってください Webまたは「疑わしいファイルを送信する」暗号化されたドキュメントファイルの形式。

-Dr.Web従業員の回答を待ってから、彼の指示に従います。



禁止事項：

-暗号化されたファイルの拡張子を変更します。 それ以外の場合、適切に選択されたキーを使用すると、ユーティリティは単に復号化する必要のあるファイルを「表示」しません。

-専門家と相談することなく、データを復号化/復元するためのプログラムを個別に使用する。



他のタスクからサーバーを解放することに注意して、私はあなたのデータを解読するための私の無料サービスを提供します。 *特定の周波数*、16GBのRAMおよびVertex 4 SSDへのオーバークロックを備えたサーバーコアi7-3770K。

「Habr」のすべてのアクティブなユーザーに対して、私のリソースの使用は無料です!!!

PMまたは他の連絡先にメールをください。 私はすでに「犬」を食べました。 そのため、夜間にサーバーを復号化するのを怠る必要はありません。

このウイルスは現代性の「惨劇」であり、仲間の兵士から「略奪」をすることは人道的ではありません。 ただし、誰かが私のYandex.Moneyアカウント410011278501419に数ドルを「投げ」れば、私は気にしません。 しかし、これはまったく必要ありません。 お問い合わせ。 空き時間にアプリケーションを処理します。



新しい情報！



2013年12月12日から、同じTrojan.Encoderシリーズからの新しいウイルスの拡散は、Doctor Web、Trojan.Encoder.263の分類の下で開始されましたが、RSA暗号化が使用されていました。 今日の日付（2013年12月20日）のこのビューは、非常に強力な暗号化方式を使用しているため、 復号化できません 。



私はこのウイルスに苦しんでいる人にお勧めします：

1.組み込みのWindows検索を使用して、.perfect拡張子を含むすべてのファイルを見つけ、外部メディアにコピーします。

2. CONTACT.txtと同じファイルをコピーします

3.この外部メディアを「棚に」置きます。

4.デコーダーユーティリティが表示されるまで待ちます。



禁止事項：

侵入者をいじる必要はありません。 これは愚かです。 50％以上のケースでは、約5000ルーブルで「支払い」をした後、何も得られません。 お金も、棚卸しもありません。

公平に言うと、インターネット上には、「略奪」のために復号化によってファイルを受け取った「幸運な人」がいることに注意する価値があります。 しかし、あなたはこれらの人々を信じるべきではありません。 私がウイルス作成者だった場合、私が最初にすることは、「私は支払いを済ませ、デコーダが送られてきた!!!」などの情報を広めることでした。

これらの「ラッキーなもの」の背後には、同じ攻撃者がいる可能性があります。



さて... Trojan.Encoderグループのウイルスの後にファイルを復号化するユーティリティを作成することで、他のウイルス対策企業に幸運を祈ります。



Doctor Webフォーラムからv.martyanovの仲間にデコーダユーティリティを作成するために行われた作業に特別な感謝を申し上げます。