Вирус Вини-пух или Trojan.Encoder.102

Вот , что мне принес знакомый с одной единственной картинкой которая открывалось на ноутбуке.

Как все было?

Позвонил, сказал, что подцепил вирус, сможешь помочь? На что я ему ответил привози посмотрим. Вот он наш родной вирус:

vinni_pux

 

В поисках интернета ничего интересного не нашел, кроме одной программы jpegrip122, которая мне помогла с картинками, а вот со всем остальным нет, так как файлы Office, тоже были заблокированы и не открывались.

Вот как мне помог мне Dr.Web:

Здравствуйте!

Судя по полученным файлам, в системе была запущена вредоносная программа Trojan.Encoder.102. Данный троян рассылается электронной почтой в виде электронного письма, имитирующего уведомление из банка или из судебных органов, с прикреплённым к письму файлом собственно трояна, а пользователь компьютера сам вручную запускает этот файл. Этот троян применяет сильное шифрование на основе алгоритма с открытым ключом (шифр типа RSA). Это практически невзламываемый на современном этапе развития математики и техники стойкий шифр, и без имеющейся только у разработчика данного трояна закрытой половины шифроключа расшифровка невозможна. Единственный способ восстановить данные, не заплатив вымогателю — обратиться в полицию, чтобы следствие могло найти и задержать злоумышленника.
Для возбуждения в отношении злоумышленников уголовного дела правоохранительным органам необходим процессуальный повод — ваше заявление о преступлении. Против вас совершено противоправное действие — могут присутствовать признаки преступлений, предусмотренных статьями 159.6, 163, 165, 272, 273 УК РФ.
Образцы заявлений, а также ссылка на госпортал («Порядок приема сообщений о происшествии в органах внутренних дел РФ») есть на нашем сайте: http://legal.drweb.com/templates
Если у вас откажутся принять заявление — получите письменный отказ и обратитесь с жалобой в вышестоящий орган полиции (к начальнику полиции вашего города или области).
Приготовьтесь к тому, что ваш компьютер будет изъят на какое-то время на экспертизу.

Есть также возможность частичного восстановления файлов. Этот троян шифрует относительно небольшое число байт, так что исходя из знания формата файла появляется возможность часть зашифрованных байт восстановить однозначно, а остальное попытаться заменить предположительно, не нарушая правил данного формата. Такой метод практически никогда не может восстановить файл точно в оригинальное состояние, предшествовавшее зашифровке, но результат может получиться удовлетворительным в том смысле, что после применения такой восстанавливающей процедуры файл иногда может быть открыт программой работы с файлами данного формата и будет выглядеть если не точно так же, как до действия Trojan.Encoder.102, то близко к нему.
Утилиту, которая реализует алгоритм восстановления, Вы можете скачать по адресуhttp://download.geo.drweb.com/pub/drweb/tools/te102decrypt.exe
Сохраните этот файл в корень диска C: поражённой машины и запустите следующей командной строкой:

C:\te102decrypt.exe -k h25

Рядом с каждым файлом, который утилита определит как зашифрованный, и с форматом которого возможна осмысленная попытка восстановления, будут созданы файлы вида исходное_имя.XX.rebuildYYY.исходное_расширение.
На один зашифрованный вариант может быть создано несколько возможных вариантов восстановления, теоретически имеющих смысл. Попытки восстановления возможны для файлов формата jpg, doc и xls.

К сожалению, это всё, что мы на данный момент можем сделать.

————
С уважением, Илья Яковец
служба технической поддержки компании «Доктор Веб».

————

Спасибо, Доктору Вебу! Помог однозначно, пришлось правда помучиться и ждать очень долго пока работает программа, потому что файлов было очень много, так как ноутбук был рабочий!

З.Ы. Почему я использовал Доктора Веба, потому Томская служба компьютерной помощи Мигом является партнером. Можешь поискать нас здесь.

Вирус шифровальщик Trojan.Encoder.741

Обратился клиент с зашифрованной базой 1С и файлы все были зашифрованны с расширением _decrypt@india.com, доктор веб отверил:

На данный момент расшифровка нашими силами видится невозможной.

Таким образом, основная рекомендация : обратитесь с заявлением в территориальное управление «К» МВД РФ;
по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.
Образцы заявлений, а также ссылка на госпортал («Порядок приема сообщений о происшествии в органах внутренних дел РФ») есть на нашем сайте: http://legal.drweb.com/templates

Только полиция имеет возможность, по крайней мере, попытаться добраться до контролируемых злоумышленниками серверов, на которых хранятся шифроключи.

Trojan.Encoder.741

 

Добавлен в вирусную базу Dr.Web: 2014-08-07
Описание добавлено: 2014-08-11

Троянская программа, шифрующая файлы на компьютерах пользователей и требующая деньги за их расшифровку. Написана на Delphi, упакована Armadillo, распространяется с 07.08.2014. Использует алгоритм шифрования AES-128, в качестве ключа троянец берет первые 16 байт данных, полученных с сервера. Пересылает удаленному серверу POST-запрос вида number=128&&id=1234567890&pc=SUPERCOMP&tail=.id-1234567890_decrypt@india.com, в ответ получает текстовые данные.

Троянец имеет несколько модификаций. Первая назначает зашифрованным файлам расширение *.id-1234567890_decrypt@india.com, вторая — *.id-1234567890_com@darkweider.com (значение после id- случайное число, разное на разных машинах).

 

и что теперь делать не понятно. остается только ждать дешифратор.