Вирус Вини-пух или Trojan.Encoder.102

Вот , что мне принес знакомый с одной единственной картинкой которая открывалось на ноутбуке.

Как все было?

Позвонил, сказал, что подцепил вирус, сможешь помочь? На что я ему ответил привози посмотрим. Вот он наш родной вирус:

vinni_pux

 

В поисках интернета ничего интересного не нашел, кроме одной программы jpegrip122, которая мне помогла с картинками, а вот со всем остальным нет, так как файлы Office, тоже были заблокированы и не открывались.

Вот как мне помог мне Dr.Web:

Здравствуйте!

Судя по полученным файлам, в системе была запущена вредоносная программа Trojan.Encoder.102. Данный троян рассылается электронной почтой в виде электронного письма, имитирующего уведомление из банка или из судебных органов, с прикреплённым к письму файлом собственно трояна, а пользователь компьютера сам вручную запускает этот файл. Этот троян применяет сильное шифрование на основе алгоритма с открытым ключом (шифр типа RSA). Это практически невзламываемый на современном этапе развития математики и техники стойкий шифр, и без имеющейся только у разработчика данного трояна закрытой половины шифроключа расшифровка невозможна. Единственный способ восстановить данные, не заплатив вымогателю — обратиться в полицию, чтобы следствие могло найти и задержать злоумышленника.
Для возбуждения в отношении злоумышленников уголовного дела правоохранительным органам необходим процессуальный повод — ваше заявление о преступлении. Против вас совершено противоправное действие — могут присутствовать признаки преступлений, предусмотренных статьями 159.6, 163, 165, 272, 273 УК РФ.
Образцы заявлений, а также ссылка на госпортал («Порядок приема сообщений о происшествии в органах внутренних дел РФ») есть на нашем сайте: http://legal.drweb.com/templates
Если у вас откажутся принять заявление — получите письменный отказ и обратитесь с жалобой в вышестоящий орган полиции (к начальнику полиции вашего города или области).
Приготовьтесь к тому, что ваш компьютер будет изъят на какое-то время на экспертизу.

Есть также возможность частичного восстановления файлов. Этот троян шифрует относительно небольшое число байт, так что исходя из знания формата файла появляется возможность часть зашифрованных байт восстановить однозначно, а остальное попытаться заменить предположительно, не нарушая правил данного формата. Такой метод практически никогда не может восстановить файл точно в оригинальное состояние, предшествовавшее зашифровке, но результат может получиться удовлетворительным в том смысле, что после применения такой восстанавливающей процедуры файл иногда может быть открыт программой работы с файлами данного формата и будет выглядеть если не точно так же, как до действия Trojan.Encoder.102, то близко к нему.
Утилиту, которая реализует алгоритм восстановления, Вы можете скачать по адресуhttp://download.geo.drweb.com/pub/drweb/tools/te102decrypt.exe
Сохраните этот файл в корень диска C: поражённой машины и запустите следующей командной строкой:

C:\te102decrypt.exe -k h25

Рядом с каждым файлом, который утилита определит как зашифрованный, и с форматом которого возможна осмысленная попытка восстановления, будут созданы файлы вида исходное_имя.XX.rebuildYYY.исходное_расширение.
На один зашифрованный вариант может быть создано несколько возможных вариантов восстановления, теоретически имеющих смысл. Попытки восстановления возможны для файлов формата jpg, doc и xls.

К сожалению, это всё, что мы на данный момент можем сделать.

————
С уважением, Илья Яковец
служба технической поддержки компании «Доктор Веб».

————

Спасибо, Доктору Вебу! Помог однозначно, пришлось правда помучиться и ждать очень долго пока работает программа, потому что файлов было очень много, так как ноутбук был рабочий!

З.Ы. Почему я использовал Доктора Веба, потому Томская служба компьютерной помощи Мигом является партнером. Можешь поискать нас здесь.

One thought on “Вирус Вини-пух или Trojan.Encoder.102

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *