Páginas

27 abril, 2012

Malware Trojan.Encoder.94

Recentemente tive que verificar um notebook infectado por um Trojan que havia encriptado todos os arquivos do usuário, chamado de Trojan.Encoder.94.

Os sintomas da infecção:

  • Grava alguns arquivos .TXT chamados HOW TO DECRYPT FILES.txt com a seguinte mensagem:
Attention! All your files are encrypted!
You are using unlicensed programms!
To restore your files and access them, send code Ukash or Paysafecard nominal value of  EUR 50 to the e-mail Koeserg@gmail.com.
During the day you receive the answer with the code.
You have 5 attempts to enter the code. If you exceed this date all data is irretrievably spoiled. Be careful when you enter the code!

  • Essa mesma  mensagem é exibida ao usuário quando inicia o Windows, solicitando resgate pela senha para descriptografar os arquivos, como na imagem abaixo:

  •  Todos os arquivos do usuário são criptografados e renomeados para a extensão .EnCiPhErEd (arquivos .doc, .xls, .jpg, .html etc).

Procedimento de Remoção:

  • Execute um antivírus para limpar os arquivos do malware (os arquivos encriptados não serão excluídos);
  • Após a remoção do vírus, será necessário descriptografar os arquivos do usuário. Para fazer isso, será necessário fazer o download de um executável disponibilizado gratuitamente pela Dr. Web;
  • Ainda assim, é necessário conhecer a chave de descriptografia dos arquivos do usuário. A Dr. Web disponibiliza um serviço gratuito, acessível pelo site. Para descobrir a chave será necessário enviar alguns arquivos criptografados para análise. Selecione arquivos .doc ou .txt e envie para o suporte. Lembre-se que devido a grande quantidade de solicitações a resposta pode demorar um pouco (mas aguarde que eles respondem).
  • Finalmente, com a chave em mãos, execute a seguinte linha de comando e aguarde o final do processo:
te94decrypt.exe -k <Chave enviada>

Fonte:

Trojan.Encoder heads West


Ransomware Encrypts Files of Users of File-Sharing Services, Demands 50-Euro Ransom

Nenhum comentário:

Postar um comentário

Related Posts Plugin for WordPress, Blogger...