Троянская программа попадает на компьютеры своих жертв по электронной почте и прописывает себя в ключ реестра:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
services = Filename.exe
Троянец активируется, используя уязвимость операционной системы. Поселившись на компьютере жертвы, программа ищет файлы
со следующими расширениями:
"rtf" ,"txt" ,"pdf" ,"csv" ,"frm" ,"css" ,"xls" , "mdb" ,"dbf" ,"dbt" ,"db" ,"safe" ,"flb" ,"pst" ,"pwl" ,"pwa" ,
"pak" ,"rar" ,"zip" ,"arj" ,"gz" ,"tar" ,"sar" ,"htm" ,"html" ,"cgi" ,"pl" ,"kwm" ,"pwm" ,"cdr" ,"dbx" ,"mmf" ,
"tbb" ,"xml " ,"frt" ,"frx" ,"gtd" ,"rmr" ,"chm" ,"mo" ,"man" ,"c" ,"cpp" ,"h" ,"pgp" ,"gzip" ,"lst" ,"pfx" ,
"p12" ,"db1" ,"db2" ,"cnt" ,"sig" ,"css" ,"arh" ,"pem" ,"key" ,"prf" ,"old" ,"rnd" ,"prx"
и шифрует их с помощью алгоритма RSA. В дальнейшем автор вируса требует со своих жертв деньги за дешифровку.
Свой адрес шантажист сообщает в файле readme.txt:
Some files are coded by RSA method.
To buy decoder mail: dervish34@rambler.ru
with subject: RSA 5 68243170728578411 |
Специалисты антивирусной лаборатории компании «Доктор Веб» оперативно разработали специальную дешифрующую программу,
позволяющую вернуть все пораженные троянцем файлы документов в первоначальное состояние.
Всем, кто столкнулся с вышеуказанной проблемой, служба технической поддержки компании «Доктор Веб»
- поможет совершенно бесплатно!
Если у вас не очень много пораженных троянцем файлов, Вы можете их дешифровать прямо на сервере компании «Доктор Веб».
Для этого Вам надо загрузить сюда - http://support.drweb.com/te_decrypt
зашифрованный файл. Вы также можете сами воспользоваться этой программой, скачав ее с их
FTP сервера - ftp://ftp.drweb.com/pub/drweb/windows/te_decrypt.exe. Параметры командной строки:
te_decrypt.exe имя_файла_который_требуется_дешифровать
Дешифрованный с помощью этой утилиты файл будет иметь первоначальное имя с добавленным к нему расширением ".decr".
|
