Разработана утилита, расшифровывающая файлы, зашифрованные Trojan.Encoder

Разработана утилита, расшифровывающая файлы, зашифрованные Trojan.Encoder

Компания «Доктор Веб» разработала утилиту, успешно справляющуюся с последствиями вредоносных действий троянца-шифровальщика Trojan.Encoder.252. Новая версия представителя известного семейства троянцев-энкодеров опасна тем, что шифрует данные пользователей и вымогает у них деньги за расшифровку пострадавших файлов. Этот троянец попадает на компьютеры жертв через спам-рассылку якобы от арбитражного суда.

Один из выявленных способов распространения этой вредоносной программы — почтовая рассылка с вложением, отправляемая якобы от арбитражного суда. Запустившись на компьютере жертвы, троянец сохраняет свою копию в одной из системных папок под именем svhost.exe, модифицирует отвечающую за автоматическую загрузку приложений ветвь системного реестра и запускается.

Троянец Trojan.Encoder.252 шифрует файлы только в том случае, если инфицированный компьютер подключен к Интернету. При этом вредоносная программа последовательно обходит дисковые накопители от С: до N: и получает список файлов с заданными расширениями (.jpg, .jpeg, .doc, .rtf, .xls, .zip, .rar, .7z, .docx, .pps, .pot, .dot, .pdf, .iso, .ppsx, .cdr, .php, .psd, .sql, .pgp, .csv, .kwm, .key, .dwg, .cad, .crt, .pptx, .xlsx, .1cd, .txt, .dbf), который сохраняет в текстовый файл. Затем Trojan.Encoder.252 проверяет доступность своих серверов, на которые впоследствии отсылается ключ шифрования. Если данные серверы недоступны, троянец выводит на экран сообщение якобы от арбитражного суда с предложением проверить настройки подключения к Интернету. В случае успешного завершения шифрования к именам файлов дописывается строка Crypted, а в качестве обоев Рабочего стола Windows устанавливается следующее изображение:

Также на компьютере жертвы появляется текстовый файл ПРОЧТИЭТО.txt, содержащий ID для расшифровки файлов, уникальный для каждого компьютера.

Несмотря на то, что на нескольких тематических ресурсах в Интернете сообщалось о невозможности расшифровки файлов в силу особенностей используемых троянцем Trojan.Encoder.252 алгоритмов шифрования, специалисты компании «Доктор Веб» разработали специальную утилиту, успешно справляющуюся с этой задачей. Правда, для подбора ключей потребуется компьютер с мощной аппаратной конфигурацией: на обычных домашних ПК этот процесс может занять около месяца, однако на сервере, оснащенном 24 процессорными ядрами, был поставлен своеобразный рекорд: ключ удалось подобрать за 20 часов. Данная утилита стала своего рода испытательным полигоном для множества инновационных идей, рожденных вирусными аналитиками «Доктор Веб» — все эти идеи будут применяться и в будущем для расшифровки файлов, пострадавших от действия троянцев-энкодеров файлов. Исследования в области разработки новых методов борьбы с шифровальщиками тем временем продолжаются.

Если вы стали жертвой вредоносной программы Trojan.Encoder.252, придерживайтесь простых правил, которые помогут вам вернуть зашифрованные файлы:

  • не меняйте расширение зашифрованных файлов;
  • не переустанавливайте операционную систему — в этом случае вернуть данные будет уже невозможно;
  • не пытайтесь «чистить» или лечить операционную систему с использованием различных утилит и специальных приложений;
  • не запускайте утилиты Dr.Web самостоятельно, без консультации с вирусным аналитиком;
  • напишите заявление о совершенном преступлении в правоохранительные органы;
  • обратитесь в антивирусную лабораторию компании «Доктор Веб», прислав зашифрованный троянцем DOC-файл и дождитесь ответа вирусного аналитика.

Отгрузки «Группы Астра» за полугодие выросли до 7,3 млрд рублей

«Группа Астра» подвела итоги по отгрузкам за второй квартал и первое полугодие 2026 года. За шесть месяцев показатель вырос на 26% год к году и достиг 7,3 млрд рублей. Во втором квартале динамика ускорилась: отгрузки увеличились на 41% по сравнению с аналогичным периодом прошлого года.

В компании связывают рост с расширением бизнеса, увеличением клиентской базы и развитием продуктовой линейки. При этом «Астра» напоминает о сезонности: традиционно около 70% годовых отгрузок приходится на второе полугодие.

Во втором квартале компания отметила несколько крупных проектов. «Магнит» начал внедрение платформы GitFlic для работы с кодом и процессами разработки. Московский метрополитен переводит платежное оборудование на Astra Linux. «Ростелеком» завершил перевод разработки учебных курсов на платформу «Линда» от Knomary, входящей в «Группу Астра». «Северсталь» внедрила Astra Automation для управления разнородной ИТ-инфраструктурой.

За квартал «Группа Астра» выпустила 13 релизов продуктов. Среди них — новая версия Astra Linux 1.8.5, платформа Astra Dev Platform для организации цикла разработки приложений, облако Astra Cloud на отечественном технологическом стеке и третье поколение машин баз данных Tantor XData.

Также компания продолжила развивать программу технологического партнерства Ready for Astra. К концу первого полугодия 2026 года в ней участвовало более 1540 партнеров, а число совместимых решений превысило 4500.

Из корпоративных событий компания выделила одобренный советом директоров buyback. Обратный выкуп рассчитан на 12 месяцев или до достижения лимита в 4 млн акций, что составляет около 2% уставного капитала. Также «Группа Астра» выплатила дивиденды за 2025 год — 982 млн рублей, или 4,68 рубля на акцию.

В конце мая компания приобрела 26% разработчика ИИ «АИБ» и запустила центр компетенций «Астра ИИ». Финансовые результаты по МСФО за первое полугодие компания планирует раскрыть 27 августа.

RSS: Новости на портале Anti-Malware.ru