Trojan.Encoder.252 - новая модификация трояна-шифровальщика


Trojan.Encoder.252 - новая версия вредоноса семейства троянов-энкодеров, шифрующая данные пользователей и вымогающая у них деньги за расшифровку пострадавших файлов.

Один из способов распространения этого вредоноса — почтовая рассылка с вложением, отправляемая якобы от арбитражного суда. После запуска на компьютере жертвы, троян сохраняет свою копию в одной из системных папок под именем

  • svhost.exe

модифицирует отвечающую за автоматическую загрузку приложений ветвь системного реестра и запускается.

Троян Trojan.Encoder.252 шифрует файлы только если инфицированный компьютер подключен к Интернету. При этом вредоносная программа последовательно обходит дисковые накопители от С: до N: и получает список файлов с заданными расширениями

  • .jpg, .jpeg, .doc, .rtf, .xls, .zip, .rar, .7z, .docx, .pps, .pot, .dot, .pdf, .iso, .ppsx, .cdr, .php, .psd, .sql, .pgp, .csv, .kwm, .key, .dwg, .cad, .crt, .pptx, .xlsx, .1cd, .txt, .dbf,

который сохраняет в текстовый файл.

Затем Trojan.Encoder.252 проверяет доступность своих серверов, на которые впоследствии и отсылается ключ шифрования. При недоступности данных серверов, троян выводит на экран сообщение якобы от арбитражного суда с предложением проверить настройки подключения к Интернету. В случае успешного завершения шифрования к именам файлов дописывается строка Crypted, а в качестве обоев Рабочего стола Windows устанавливается следующее изображение:

Privet bratish cripted

Также на компьютере жертвы появляется текстовый файл

  • ПРОЧТИЭТО.txt

содержащий ID для расшифровки файлов, уникальный для каждого компьютера.

Чтобы расшифровать файлы, закодированные вредоносной программой Trojan.Encoder.252, необходимо придерживайтесь простых правил:

  • Не изменять расширение зашифрованных файлов
  • Не переустанавливать операционную систему
  • Не "чистить" или лечить операционную систему с использованием различных утилит и специальных приложений
  • Не запускать утилиты Dr.Web самостоятельно, без консультации с вирусным аналитиком
  • Обратиться в антивирусную лабораторию компании Доктор Веб, прислав зашифрованный трояном DOC-файл;
  • Дождаться ответа вирусного аналитика.


Утилита, разработанная компанией Доктор Веб, может расшифровать зашифрованные файлы, однако для этих целей потребуется компьютер с мощной аппаратной конфигурацией. Если использовать обычные домашние ПК, то этот процесс может занять около месяца, а при расшифровке на сервере, оснащенном 24 процессорными ядрами, ключ удалось подобрать за 20 часов.