Дешифровщик Windows Trojan.Encoder.19 — утилита дешифровки от компании «Доктор Веб» для троянской программы Trojan.Encoder.19. Инфицировав систему, троянец оставляет текстовый файл crypted.txt с требованием заплатить 10$ за программу-дешифровщик:

Ваши файлы зашифрованы! Дешифратор стоит 10$! Подробнее: http://decryptor.****** E-mail: decryptor2008@****** ICQ: ******* S/N BF_3-pUChT$+bm5 Не удаляйте и не изменяйте этот файл!!!

Инструкция по применению

  1. Запустите расшифровку файлов на всем диске C:. Для этого запустите программу, со следующими параметрами командной строки:
    Например:
  2. Файлы на диск С: будут расшифрованы. По окончании работы утилиты рядом с шифрованными файлами.crypt должны появиться расшифрованные файлы без окончания.crypt. Шифрованные файлы удалять не надо, т.к. не исключена возможность некорректной расшифровки.

ВНИМАНИЕ! Категорически не рекомендуем платить злоумышленникам выкуп. Кроме того, мы настоятельно просим пользователей не пытаться переустановить систему и восстанавливать ее из резервных копий, а обратиться за помощью в техподдержку, либо в специальный раздел официального форума компании «Доктор Веб».

Если Вам не удалось расшифровать некоторые файлы, просим присылать на адрес [email protected] файл crypted.txt из корня диска C: и несколько образцов зашифрованных файлов.

"Доктор Веб" выпустил бесплатную утилиту дешифровки от новой версии троянца-вымогателя Trojan.Encoder.19


Компания «Доктор Веб» сообщает о появлении нового троянца, который шифрует пользовательские файлы. В классификации компании «Доктор Веб» троянская программа получила название Trojan.Encoder.19. Инфицировав систему, троянец оставляет текстовый файл crypted.txt с требованием заплатить 10$ за программу расшифровщик.

Как использовать утилиту
Запустите расшифровку файлов на всем диске C:. Для этого запустите программу, со следующими параметрами командной строки:

Файлы на диск С: будут расшифрованы. По окончании работы утилиты рядом с шифрованными файлами.crypt должны появиться расшифрованные файлы без окончания.crypt. Шифрованные файлы удалять не надо, т.к. не исключена возможность некорректной расшифровки.

Если Вам не удалось расшифровать некоторые файлы, просим присылать на адрес [email protected] файл crypted.txt из корня диска C: и несколько образцов зашифрованных файлов.


(Информация со страницы производителя)


Эта программа была предложена: Wiper_off


Данное описание, скорее всего, было написано пользователем и потому может отличаться от мнения редакции loadion.com. Пожалуйста, имейте в виду, что эта площадка может использоваться только в легальных целях и мы дистанцируемся от любого неправомерного использования.

Всем привет! Сегодня хочу осветить одну проблему, связанную с вредоносной программой, шифрующей файлы на компьютере. Есть такая проблема, после которой появляются запросы типа «Помогите! Вирус зашифровал файлы», этим же вопросом достают многих компьютерных мастеров, которые иногда даже берутся помочь, но в итоге пользуются тем, что описано ниже. А что дествительно делать, если вирус зашифровал файлы на компьютере?! Прочитать статью до конца, внять написанному, успокоиться и начать действовать. Поехали!

Шифровальщики — это разновидности семейства trojan encoder (так их классифицирует например dr. web). Сама программа шифровальщик часто ловится через некоторое время антивирусом, если он ее пропустил. Но вот последствия от ее работы удручающие. Что делать, если вы стали жертвой подобного рода гадости? Давайте разбираться. Для начала необходимо примерно знать как устроен враг, чтобы перестать грузить глупыми вопросами всех и вся в надежде что сейчас появиться шаман с бубном и решит мигом вашу проблему. Итак, вирус использует асимметричные ключи, насколько мне известно, иначе не было бы с ним столько проблем. Такая система использует два ключа, один из которых шифрует, другой расшифровывает. Причем первый вычисляется из второго (но не наоборот). Давайте попробуем это представить наглядно и что называется на пальцах. Рассмотрим пару рисунков, которые наглядно демонстрируют процесс шифрования и расшифровки.

Не будем вдаваться в подробности о том, как формируется открытый ключ. Эти две картинки демонстрируют наглядно процесс шифрования, а затем дешифровки, это как закрыть дверь, а потом ее открыть. В чем же реально проблема с вирусом-шифровальщиком? Проблема в том, что у вас вообще нет никакого ключа. Ключи у злоумышленника. А алгоритмы шифрования, использующие эту технологию сделаны весьма хитро. Вы можете каким-то образом получить открытый ключ, изучая файл, но это не имеет смысла, потому что вам нужен секретный ключ. А вот с ним загвоздка. Даже узнав ключ открытый, секретный получить практически невозможно. Понятно, что в фильмах и книгах, а также рассказах друзей и знакомых, есть какие-то супер-пупер хакеры, которые взмахом мизинца над клавиатурой расшифруют все, взломают все в лоб, а в реальном мире все совсем не так просто. Скажу что в лоб эту задачу не решить и точка.

А теперь о том, что делать, если вы подцепили сию гадость. Вариантов у вас не много. Самый банальный связаться с автором по электронной почте, которую он любезно вам предоставит на новых обоях для рабочего стола, а также впишет в имя каждого испорченного файла. Будьте осторожны, иначе не получите ни файлов ни денег. Вариант второй — антивирусные компании, в частности доктор Веб. Обращаетесь в тех поддержку по адресу https://support.drweb.ru/new/free_unlocker/for_decode/?lng=ru . Проходите по пунктам, которые требуются и воаля. Правда есть одно Но! Вы обязательно должны использовать лицензионный антивирус от доктор Веб, если у вас его нет, нужно будет приобрести лицензию. В случае успеха, ваш запрос уйдет в службу технической поддержки компании, а дальше ожидайте ответа. Прошу обратить особое внимание, что этот способ не дает 100% гарантии полной расшифровки всех файлов, это связано с тем, что не все ключи и алгоритмы есть у них в наличии. Расшифровкой занимаются и другие антивирусные компании, на подобных условиях. Третий вариант — обратиться в правоохранительные органы. Между прочим, если будете создавать запрос в компанию доктор Веб, даже они вам об этом скажут. Вариант третий может быть затяжным и безуспешным (впрочем как и первые два), но в случае успеха, злоумышленника накажут и он будет меньше вредить людям, а ключ передадут антивирусным компаниям. Есть еще и четвертый вариант — безуспешно пытаться найти чудо мастера, который каким-то сверхсекретным образом расшифрует. Вперед ребята! Но задумайтесь! Уж если антивирусные компании не дают 100% гарантии и рекомендуют обратиться в полицию, то что еще искать? Не тратьте свое время и деньги, будьте реалистами.

Резюмирую. К сожалению множество людей обижаются на мастеров, которые отправляют их в милицию или в антивирусную компанию, умоляя им помочь, но дорогие наши пользователи, поймите, мастера не всесильны, а здесь нужны отменные знания в криптографии, да и они вряд ли помогут. Поэтому пользуйтесь тремя вышеуказанными способами, но с первым аккуратнее (крайний случай), лучше уж обращайтесь в органы, а параллельно попытайтесь спасти хоть что-то с помощью специалистов из антивирусной компании.
Да, кстати, обращение в полицию поможет другим пострадавшим и если каждый будет стараться так поступать, заразы подобной станет в разы меньше, поэтому думайте не только о себе но и других людях. И еще будьте готовы к тому что возможно кроме автора вируса больше никто не решит вашу проблему! Поэтому сделайте для себя важный вывод и раните ценные файлы в нескольких экземплярах на разных устройствах или пользуйтесь облачными сервисами.

Откровенно говоря, я сегодня никак не ожидал столкнуться с, пожалуй, одной из последней модификацией этого вируса. Не так давно я немного уже о нём на своем сайте - пришло время рассказать побольше:)

Как я уже говорил - Trojan.Encoder - это троянская программа, которая шифрует пользовательские файлы. Разновидностей сего ужаса все больше и больше и всего их, по примерным подсчетам, уже около 8 , а именно: Trojan.Encoder.19 , Trojan.Encoder.20 , Trojan.Encoder.21 , Trojan.Encoder.33 , Trojan.Encoder - 43, 44 и 45 и последняя еще, как я понял, не пронумерована. Автором вируса является некий "Корректор ".

Немного информации по версиям (информация взята частично с сайта и частично с сайта ):

Trojan.Encoder.19 - инфицировав систему, троянец оставляет текстовый файл crypted.txt с требованием заплатить 10$ за программу расшифровщик.

Очередная разновидность Trojan.Encoder.19 обходит все несъёмные носители и шифрует файлы с расширениями из следующего списка:
.jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .asf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar, .zip, .db, .mdb, .dbf, .dbx, .h, .c, .pas, .php, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .sol, .jbc, .txt, .pdf.

Trojan.Encoder.20 - новая версия троянской программы-вымогателя, в которой по сравнению с Trojan.Encoder.19 изменен механизм шифрования и генерации ключа.

Trojan.Encoder.21 - новая модификация троянца в файле crypted.txt , которая требует переводить деньги (89$) только с помощью определённой платёжной системы, указанной автором вируса, и не использовать такие системы как PAYPAL и наличные деньги. Для распространения Trojan.Encoder.21 использует сайты, которые известны как активные дистрибьюторы троянцев. Прежние модификации применяли для этого одноразовые ссылки или ссылки с коротким временем работы. Данная особенность Trojan.Encoder.21 может резко увеличить темпы его распространения.

Trojan.Encoder.33 шифрует данные пользователей, однако использует при этом новые механизмы. Опасности подвергаются файлы с расширением *.txt,*.jpg,*.jpeg,*.doc,*.docx,*.xls, которые троянец переносит в папки:
C:\Documents and Settings\Local Settings\Application Data\CDD
C:\Documents and Settings\Local Settings\Application Data\FLR
В то же время оригинальные файлы заменяются сообщением "FileError_22001".

В отличие от прежних модификаций, Trojan.Encoder.33 не выводит никаких сообщений с требованием заплатить различные суммы денег. При этом, функция шифрования данных пользователя осуществляется этим троянцем только в случае, если ему удается связаться с внешним сервером.

Последние отличаются от предыдущих новым ключом шифрования документов, а также новыми контактными данными злоумышленника. Специалисты "Доктор Веб " оперативно создали утилиты, позволяющие расшифровать файлы, доступ к которым был заблокирован новыми модификациями Trojan.Encoder . Но особенно интересна еще одна, самая «свежая» модификация Trojan.Encoder . Эта версия троянской программы добавляет к зашифрованным файлам расширение.DrWeb . Вследствие успешного противодействия Trojan.Encoder со стороны антивируса Dr.Web у автора, видимо, зародилось желание «напакостить» при помощи упоминания нашей торговой марки в названии зашифрованных файлов.

Кроме того, в распоряжении специалистов "Доктор Веб " оказалась ссылка на один из сайтов автора актуальных модификаций Trojan.Encoder . Интересно, что владелец этого ресурса пытается ассоциировать себя с «Доктор Веб », используя образы паука и доктора, в то время как компания не имеет к подобным сайтам никакого отношения. Очевидно, такое оформление используется для того, чтобы запутать неопытных пользователей и скомпрометировать компанию «Доктор Веб ».

Злоумышленник всячески пытается предстать перед пострадавшими с положительной стороны - как человек, помогающий восстановить документы пользователей. На своем сайте он предлагает просмотреть ролик, в котором демонстрируется работа утилиты дешифровки документов, за которую вымогаются деньги.

По имеющимся сведениям можно предполагать, что вымоганием денег после шифрования файлов занимается один человек.

Аналитики компании «Доктор Веб » разработали утилиту дешифровки и предлагают всем пользователям бесплатно её, чтобы восстановить свои файлы. Для удобства пользователей новая версия утилиты снабжена модулем графического интерфейса и носит название Trojan.Encoder Decrypt .

Я сегодня столкнулся с еще какой-то (возможно, что самой новой) версией этой пакости, которая мало того, что зашифровала всё нафиг - так еще и не имеет файла crypted.txt , который необходим программе-дешифровке от dr.web для того, чтобы обратно раскодировать файлы. Более того, сия (или не сия, а какая-нибудь другая) штука напрочь заблокировала доступ к avz -ту и не дает никоим образом запустить его на компьютере. Невозможно ни распаковать скачанный архив с , ни залить на компьютер напрямую папку, короче упирается ногами и руками, отрезая avz -ту базы, которые живут в папке Base и имеют расширение.avz . Хитрость с переименовыванием расширения или удаленным запуском тоже не возымела действия. Пришлось крутится. После разворачивания на компьютере программного комплекса + и тщательной очистки оными без единой перезагрузки компьютера (это важно), а так же после ручного выгрызания левых процессов, элементов автозагрузки, модулей пространства ядра и прочих ужасов жизни avz таки удалось запустить. Комплексный анализ системы по средством оного выявил целую тучку бед, вывел ряд вирусов (сам Encoder был вычищен drweb"ом), но.. Дешифровать файлы специальной программой не выходит в силу отсутствия crypted.txt или любого другого близкого к оному файла. А другого решения я пока не знаю.

Посему, всем заразившимся, настоятельно рекомендую для начала воспользоваться связкой Dr.web Сureit + spybot , а затем обратится напрямую в компанию dr.web за помощью в дешифровке файлов. Обещают помочь и совершенно бесплатно.

Где пользователь подцепил сей вирус я, к сожалению, не знаю.

Спасибо за внимание и держите свой компьютер в безопасности. Это важно.