Служба вірусного моніторингу компанії доктор Веб інформує всіх користувачів про появу нової модифікації троянської програми Trojan.Encoder, про яку вперше повідомлялося 27 січня 2006 р Даний варіант визначається антивірусною програмою Dr.Web як Trojan.Encoder.6.
За наявними даними, всі версії троянської програми розсилаються по електронній пошті - у вигляді спам-розсилок. Необережний користувач, запустивши програму-вкладення, тут же стає жертвою шантажиста - його файли документів шифруються, а йому самому пропонується зв'язатися зі зловмисником за вказаною останнім адресою електронної пошти. Після поразки комп'ютера в кожній папці з'являється файл readme.txt такого змісту: Some files are coded by RSA method. To buy decoder mail: [email protected] with subject: REPLY
В даний час зафіксовано кілька варіантів троянської програми. На відміну від попередніх версій, творець вірусу використовує ключі шифрування досить великої довжини - 260 біт, що істотно ускладнює процес дешифрування уражених їм файлів.
Компанія «Доктор Веб» випустила оновлення спеціальної утиліти дешифрування файлів, зашифрованих троянської програмою Trojan.Encoder.6 Удосконалена утиліта, випущена антивірусною лабораторією компанії «Доктор Веб», дозволяє дешифрувати файли, зашифровані за допомогою різних ключів шифрування.
Завантажити утиліту дешифрування можна на сайті компанії "Доктор Веб" по цій адресі (84 Кб, Freeware, Windows All).
Застосування утиліти:
- Перейти в командний рядок (кнопка "Пуск" - Виконати - cmd);
- Перейти в директорію, що містять файли, які необхідно дешифрувати;
- Помістити в цю ж директорію утиліту дешифрування rsad.exe;
- Набрати в командному рядку te_decrypt.exe [імя_файла_для_дешіфровкі] [Enter],
У разі, якщо файл зашифрований за допомогою підтримуваних варіантів ключів, він буде дешифрований, і на виході буде отриманий файл з розширенням .decrypted. Фахівці компанії «Доктор Веб» продовжують роботу, незабаром очікується випуск спеціального доповнення до вірусних баз Dr.Web, за допомогою якого в штатному режимі будуть дешіфровивать файли.
Компанія «Доктор Веб» ще раз звертає увагу користувачів на небезпеку даного "троянця" і закликає бути виключно обережними з будь-якими поштовими повідомленнями, які надходили від невідомих адресатів.