È possibile la decifratura dei file codificati dal Trojan.Encoder.398
25 novembre 2014
Il Trojan.Encoder.398 è scritto in Delphi e secondo una serie di caratteristiche può essere classificato come una versione migliorata del programma malevolo Trojan.Encoder.225. Il Trojan.Encoder.398 riceve le chiavi per la cifratura di file dal server dei malintenzionati. Una volta avviato sul computer attaccato, il trojan si copia in una delle directory di sistema con il nome ID.exe, dove ID è il numero di serie di disco rigido. In seguito il Trojan.Encoder.398 visualizza un messaggio di archivio corrotto e avvia la propria copia che determina il numero di serie del disco rigido del computer infettato e manda queste informazioni sul server dei malintenzionati. Come risposta del server, il trojan riceve dati di configurazione in formato XML che includono i parametri di cifratura: e-mail per il contatto con i malintenzionati, chiave di cifratura e numero dell'algoritmo che verrà utilizzato, nonché stringa inclusa nell'estensione dei file cifrati, dopo di che inizia la procedura di codifica.
Attualmente, gli specialisti Doctor Web conoscono diverse varianti del programma Trojan.Encoder.398 che utilizzano fino ai 18 differenti algoritmi di codifica. Il trojan può codificare i file con le seguenti estensioni: .odt, *.ods, *.odp, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpeg, *.arw, *.dng, *.3fr, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.p12, *.p7b, *.pdf, *.p7c, *.pfx, *.odc, *.rar, *.zip, *.7z, *.png, *.backup, *.tar, *.eml, *.1cd, *.dt, *.md, *.dds.
Per il contatto, i malintenzionati di solito utilizzano i seguenti indirizzi email: mrcrtools@aol.com, back_files@aol.com, backyourfile@aol.com, vernut2014@qq.com, yourfiles2014@yahoo.com, restorefiles2014@yahoo.fr, filescrypt2014@foxmail.com ecc.
Tutti i tuoi file sono stati cifrati. Per la decifratura, contattaci per email
Vuoi recuperare i tuoi file? Mandaci un'email
Tutti i tuoi file sono stati cifrati! Per comprare un programma di decifratura, contattaci per email
Fino a tempi recenti, la decifratura di file colpiti dal Trojan.Encoder.398 era considerata impossibile, però a maggio 2014 gli specialisti Doctor Web hanno iniziato un'indagine scientifica per il fine di creare algoritmi di decifratura efficaci. Questo lavoro ha dato infine i suoi frutti e per il momento Doctor Web è l'unica società che può decifrare con la probabilità del 90% i file cifrati tramite il malware Trojan.Encoder.398 con l'estensione aggiuntiva *.filescrypt2014@foxmail.com_*.
Va notato che di recente in Internet sono comparse numerose offerte di decifratura di file a pagamento, però è stato stabilito in modo affidabile che la maggior parte delle persone che offre questo servizio dopotutto contatta comunque il supporto tecnico della società Doctor Web. Si prega di notare che la società Doctor Web decifra file gratis per gli utenti dei suoi prodotti con licenze commerciali. Pertanto, i truffatori in realtà vendono un servizio che può essere utilizzato gratis. L'importo di ricompensa richiesto dai truffatori è più del prezzo di una licenza commerciale dei prodotti antivirus Dr.Web, acquistando la quale l'utente ottiene una protezione sicura del suo computer e del suo dispositivo mobile.
Se le informazioni sul computer sono state colpite da questo trojan-encoder, si consiglia di:
- contattare la polizia;
- non reinstallare il sistema operativo;
- non cancellare nessun file sul computer vittima;
- non cercare di ripristinare da soli i file cifrati;
- rivolgersi al supporto tecnico Doctor Web (il servizio di decifratura file è gratuito ed è disponibile per i titolari di licenze commerciali Doctor Web);
- allegare al ticket un file cifrato dal trojan;
- aspettare la risposta di un analista dei virus. Per grande numero di richieste, l'attesa potrebbe durare qualche tempo.
Vi ricordiamo che i servizi di decifratura file sono disponibili soltanto per i titolari di licenze commerciali dei prodotti antivirus Doctor Web. Il lavoro fatto dagli specialisti Doctor Web apre nuove prospettive nella lotta contro i trojan-encoder e speriamo che sempre più vittime di questi programmi avranno la possibilità di recuperare file cifrati.
