Trojan.Encoder

[nobody.nogroup 0]

http://info.drweb.com/show/2746

------

За последние сутки в Службу вирусного мониторинга компании «Доктор Веб» поступило несколько обращений от пользователей, файлы документов которых оказались закодированы неизвестным вирусом. Кроме зашифрованных и поэтому недоступных для прочтения файлов все жертвы вируса обнаружили на своих дисках многочисленные копии файла read.me, в котором содержалось сообщение о том, что файлы пользователя зашифрованы и предлагалось обратиться с письмом на указанный адрес электронной почты для расшифровки файлов.

В этой связи компания «Доктор Веб» информирует своих пользователей, что в данном случае речь идет о поражении системы троянской программой, которая детектируется антивирусным ядром Dr.Web как Trojan.Encoder (добавлен в вирусную базу 26 января 2006 года). Троянская программа попадает на компьютеры своих жертв по электронной почте и прописывает себя в ключ реестра

HKCUSoftwareMicrosoftWindowsCurrentVersionRun

services = Filename.exe

Троянец активируется, используя уязвимость операционной системы. Поселившись на компьютере жертвы, программа ищет файлы со следующими расширениями:

"rtf" ,"txt" ,"pdf" ,"csv" ,"frm" ,"css" ,"xls" ,

"mdb" ,"dbf" ,"dbt" ,"db" ,"safe" ,"flb" ,"pst" ,"pwl" ,"pwa" ,"pak" ,"rar" ,

"zip" ,"arj" ,"gz" ,"tar" ,"sar" ,"htm" ,"html" ,"cgi" ,"pl" ,"kwm" ,"pwm" ,

"cdr" ,"dbx" ,"mmf" ,"tbb" ,"xml " ,"frt" ,"frx" ,"gtd" ,"rmr" ,"chm" ,"mo" ,

"man" ,"c" ,"cpp" ,"h" ,"pgp" ,"gzip" ,"lst" ,"pfx" ,"p12" ,"db1" ,"db2" ,

"cnt" ,"sig" ,"css" ,"arh" ,"pem" ,"key" ,"prf" ,"old" ,"rnd" ,"prx"

и шифрует их с помощью алгоритма RSA. В дальнейшем автор вируса требует со своих жертв деньги за дешифровку. Свой адрес шантажист сообщает в файле readme.txt

Some files are coded by RSA method.

To buy decoder mail: ********34@rambler.ru

with subject: RSA 5 68243170728578411

Специалисты антивирусной лаборатории компании «Доктор Веб» оперативно разработали специальную дешифрующую программу, позволяющую вернуть все пораженные троянцем файлы документов в первоначальное состояние. Мы предлагаем всем, кто столкнулся с вышеуказанной проблемой, обращаться в Службу технической поддержки компании «Доктор Веб» - Вам помогут совершенно бесплатно!

------

[broker 30]

просто интересно, каким методом было зашифровано?

[Сергей Ильин 1538]

А чем Вам не понравилась вот эта ветка?

http://www.anti-malware.ru/phpbb/viewtopic.php?t=354

Просто эта новость была опубликована сегодня на сайте, (соответствующая ветка на форуме создается автоматом).

[nobody.nogroup 0]

А чем Вам не понравилась вот эта ветка?

http://www.anti-malware.ru/phpbb/viewtopic.php?t=354

Просто эта новость была опубликована сегодня на сайте, (соответствующая ветка на форуме создается автоматом).

Был не к курсе.

просто интересно, каким методом было зашифровано?

Зашифровано RSA с 17-и битным ключём.

[broker 30]

возникает вопрос, какова вероятность появления такой угрозы при использовании более стойких алгоритмов шифрования?

[Lex 25]

Не совсем понятен вопрос... Зачем связывать вероятность угрозы и стойкость алгоритма...

[broker 30]

не секрет, что при использовании определённых алгоритмов шиврования , для дешифровки (без ключа) могут уйти годы.

Какова вероятность того, что появится такой вирус..

[Lex 25]

Да 100%.

В чем проблема-то? Алгоритмы открыты. Встраивай - не хочу. Это была одна из проб пера автора, так сказать.

[broker 30]

в том то и дело.. эра вируса CIH прошла, но всё-таки вопрос открытый возможны ли вирусные атаки с нанесением огромного ущерба, со случайным выбором жертв

[Lex 25]

А зачем?... На сегодня актуально получение коммерческой выгоды. А нанесение вреда ради нанесения вреда... Вот зашифровать и попросить деньги за расшифровку - это понять можно.

[broker 30]

в том то и дело, просто так - пробы пера..

[Andrew 0]

Зашифровано RSA с 17-и битным ключём.

Хм, а откуда закрытый ключ вытащили? Программа оба ключа несла? Странно

[broker 30]

Хм, а откуда закрытый ключ вытащили? Программа оба ключа несла? Странно

из-за этого вопроса тема и возникла

Добавлено спустя 1 минуту 21 секунду:

я так понял, что ключ им кто-то предоставил

[Andrew 0]

я так понял, что ключ им кто-то предоставил

Наверное ещё и благодарил что только ключ взяли? Хм, интересная сцена нарисовалась в моём воображении...

[broker 30]

Andrew

Странная ситуация на самом деле.. Что самое интересное.. шифрование должно сниматься при лечении заражённого файла.. Это значит, что закрытый ключ вошёл в обновления

[nobody.nogroup 0]

17-и битный ключ можно подобрать.

Это во-первых.

Во-вторых, ничего не могу сказать точно - кто, что и когда предоставил в вирусную лабораторию. Данными не располагаю и вирусных аналитиков беспокоить не хочется. Но там точно побывало, думаю, с десяток-другой семплов данного трояна.

Для сведения, ключи криптования по умолчанию в openssh 1024-х битные, что в 60 с лишним раз больше, чем ключ криптования в Trojan.Encoder.

2 broker и Andrew:

Если кто-то и предоставил в нашу вирусную лабораторию ключ криптования, то это было сделано безвозмездно. Компания Доктор Веб не спонсирует вирусописателей, покупая у них ключи криптования или образцы вирусов.

[broker 30]

Ilya

вопрос в другом.. почему ключ такой маленькой длины

Но на самом деле это всё не важно..

главное решение проблемы

[nobody.nogroup 0]

вопрос в другом.. почему ключ такой маленькой длины

Это уже не к нам :-)

Это нужно было писать по тому email'у, что был в readme, только, полагаю, его быстро прикрыли.

А утилиту создали для скорейшего решения вопросов от пострадавших.

[Andrew 0]

17-и битный ключ можно подобрать.

Это во-первых.

Для сведения, ключи криптования по умолчанию в openssh 1024-х битные, что в 60 с лишним раз больше, чем ключ криптования в Trojan.Encoder.

2 broker и Andrew:

Если кто-то и предоставил в нашу вирусную лабораторию ключ криптования, то это было сделано безвозмездно. Компания Доктор Веб не спонсирует вирусописателей, покупая у них ключи криптования или образцы вирусов.

Да я не в претензии что Вы предоставили лечение. У меня возникли вопросы про ключ (зы уровень защиты нельзя сравнить простым делением длин). Мне действительно стало смешно если закрытый ключ лежит в самой программе.

[nobody.nogroup 0]

Само собой, что степень защиты возрастает нелинейно в зависимости длинны ключа :-)

В теле трояна не было закрытого ключа.