Ответ компании DrWeb о троянцах-шифровальщиках семейства Encoder. Возможно ли восстановить файлы.

Добрый день!
Благодарим за обращение в техническую поддержку "Доктор Веб".

Файлы зашифрованы одним из новых вариантов троянской программы Trojan.Encoder.293

На данный момент у нас нет способа их расшифровать. Также, увы, нет никакой надежды, что кто-либо сможет подобрать/вычислить ключ для расшифровки - эффективных алгоритмов факторизации для шифра RSA современной науке не известно.

Ключ для расшифровки данных, зашифрованных Encoder.102, можно получить/изъять только у автора троянца.

Таким образом, основная рекомендация: обратитесь с заявлением в территориальное управление "К" МВД РФ по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.

Образцы заявлений, а также ссылка на госпортал ("Порядок приема сообщений о происшествии в органах внутренних дел РФ") есть на нашем сайте: http://legal.drweb.com/templates

Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и выяснят у него шифроключ.

Существует возможность частичного восстановления (реконструкции) некоторых файлов, зашифрованных encoder.293, без их расшифровки (расшифровка без приватной половины ключевой пары невозможна). Только некоторых, и только частично.

Фактически такой подход основывается на том, что шифровщик типа Encoder.102/293 вносит в файл относительно немного изменений. И т.к. в данные внесено относительно немного изменений, локализованных в известных местах файла, то на это можно посмотреть просто как на повреждение файла, которое, возможно, поддается исправлению. При этом следует иметь в виду, что реконструированный файл никогда не возвращается в исходное, как было до зашифровки, состояние.

Особенно актуально для офисных doc/xls, в которых после реконструкции могут измениться данные на первых страницах. Было написано 100, а станет 500 - такое запросто может случиться.

Наша утилита, которая кое-что умеет делать в этом плане:

http://download.geo.drweb.com/pub/drweb/tools/te102decrypt.exe

Способ её применения в вашем случае следующий:
te102decrypt.exe -k h49 -e .SOS@AUSI.COM_FG177

или:
te102decrypt.exe -k h49 -e .SOS@AUSI.COM_FG177 -path D:\Path

- так деятельность реконструктора ограничится только тем, что найдется в указанном каталоге D:\Path

Результаты сохраняются в новые файлы по принципу:

"документ.doc.SOS@AUSI.COM_FG177" (зашифрованный) => "документ.doc" (реконструированный)

С учетом этого требуется дополнительное свободное место на диске. В лучшем случае te102decrypt сможет восстановить кое-что из файлов формата jpg/doc/xls/dbf (часть данных может быть потеряна, но количество потерь сведено к минимуму). Не более того.

Что касается зашифрованных zip-архивов. То, что можно из них вытащить без расшифровки, способен вытащить архиватор 7zip. Непосредственно распаковать прямо из зашифрованных. В данном случае должно быть возможно вытащить из зашифрованного zip-архива все файлы, кроме первого, и, быть может, еще нескольких из начала архива. Пока это всё, чем мы можем вам помочь.

С уважением, служба технической поддержки компании "Доктор Веб".