Осторожно, новый вирус криптор, появился недавно ибо аверы пока молчат

Да... получается все таки как раз больше вредительство, чем зарабатывание денег. Минимум половину фотографий придется восстанавливать как есть, чтобы хоть какая-то память осталась. Еще раз спасибо за декриптор!
Будем ждать файл для пакетной обработки.

123456
+стопицот!
Кстати 95% новых троянов крипторов енкодеров реализовано именно на xor'е (Хорошо хоть хватает ума на С или асме писать а не на VB и Delphi
)
Что касается асимметричных алгосов - далеко не все школьники понимают принцип их работы (ну это и к лучшему). Ну а эллиптик вообще мало кому на сцене скрипт-киддесов под силу.

Secur/TLG Да, эллиптическое кодирование — вещь непростая, даже математические основы не для среднего ума. Но вся сложность окупается эффективностью и криптостойкостью даже при сравнительно коротких ключах. Впрочем, это отдельный разговор. А что касается Си и Ассемблера, то владение ими само по себе подразумевает определённую степень развития. Мне думается, что подобные "вирусы" пишутся на каком-нибудь уродливом .NET, а их "разработчики" ни о WinAPI, ни о Ассемблере и слыхом не слыхивали.

Еще одним троем меньше
Я уже тестирую декриптор для трояна Trojan.Encoder.54 по классификации доктора Веба или Trojan-Ransom.Win32.Cryptor.f по классификации Лаборатории Касперского. Если Вам знакомо это окно

обращайтесь!

PS: Хотя декриптором это нельзя назвать, это инвадер, который внедряется в адресное пространство трояна и наглым образом выдирает из него пароль для расшифровки, вставляя его затем в поле для ввода пароля. Вам остается только нажать кнопку ОК и дождаться расшифровки всех файлов и удаления следов деятельности трояна со своего компа.

Собственно:
http://rapidshare.com/files/305964769/troj...54_injector.rar

Это сообщение отредактировал Secur/TLG - 12.11.2009 - 16:50

Уважаемый Secur/TLG, а как пользоваться дешифратором вашим? запускаю - выбираю файл - пишет Дешифровка файла прошла успешно. Но расширение такое же осталось с припиской .crypt да и видок такой же зашифрованый. Не подскажите мне? как быть? а то рога =(

Secur/TLG
Реально ОН! Выскакивает такая же хрень.
С 16:22 до 16:44 (странные цифры) засадил 4!!! жёстких диска JPGов таким планом: ИМЯ ФАЙЛА.JPG.crypted
Причём резвиться начал с Н и поехал вперёд, на Е тормознул. Никаких CryptLogFile.txt не вижу, хотя проблему просёк сразу - выскакивали разные, включая чёрные окна. DrWEB5.0 сдулся перед проблемой. Времени мало было, я его тупо грохнул, качнул ДЕМО NOD32, этот ведро дерьма порешил, возможно вместе с дешифровальной инфой. Вобщем весь в панике!
Буду очень признателен в помощи! Просто какой-то 3,14zДЕЦ!!!

В свойствах файла указывает приложение MotherFucker v1.0
Обнаружил ещё и RAR, AVI и WMF тоже crypted

обновленный антивирусы детектят уже его?

yanars
McSIM_Tver
В обоих ваших ваших случаях имеет место быть Trojan.encoder.54, для расшифровки файлов необходимо иметь сам вирус, так, чтобы при запуске любого файла с расширением crypted вылезало окно, которое я приводил несколькими постами ранее, после чего можно смело воспользоваться вот этим - http://rapidshare.com/files/305964769/troj...54_injector.rar
указав в качестве цели сам вирус, после этого вирус запуститься, в поле "пароль" отобразиться пароль, вы нажмете кнопку ОК и все файлы будут расшифрованы.
В любом случае, ИЩИТЕ ФАЙЛ ВИРУСА!!!, восстанавливайте его из карантина антивирусов, качайте снова из интернета, вспоминайте, где еще могла остаться его копия!!!!
Beirut
На сколько мне известно Trojan.encoder.54 прекрасно ловиться многими антивирусами, а вот SuperFucker (с которого начиналась эта тема) не ловится ибо не имеет размаха эпидемии заражение им.

ИНФОРМАЦИЯ ДЛЯ ВСЕХ:
Не пытайтесь использовать SuperFucker Decryptor на файлах защифрованных вирусом trojan.encoder.54, тем самым вы только напрочь испортите ваши файлы!!!

Это сообщение отредактировал Secur/TLG - 18.11.2009 - 07:37

В связи с достаточно большим количеством просьб о помощи в дешифровке прошу с сегодняшнего дня образцы вирусов и зашифрованных файлов высылать на адрес newcryptor@gmail.com
Спасибо за понимание

Это сообщение отредактировал Secur/TLG - 18.11.2009 - 08:15

Значит надо просто послать образец на изучение! Касперский, например, быстро реагирует, Авира тоже.

Alexander.M
Касперский отреагировал....он его обнаруживает и удаляет, а вот расшифровывать зашифрованные файлы он и не подумает...все по принципу: "Телевизор ВИТЯЗЬ. Сами купили - сами ебитесь" =(((
Доктор Вэб - единственный, кто идет на встречу в таких случаях, но тоже не всегда можно надеяться на него...

а как запустить injector?
просто после нажатия на выложенный вами exe файл появляются "песочные часы", дальнейшей реакции нет

Это сообщение отредактировал dimasimptom - 18.11.2009 - 11:10

Так..."Счастливым обладателям" вируса-крипиора под названием SuperFucker 1.0 посвящается.
Если у Вас в папке C:\Windows обнаруживается файл CryptLogFile.txt, то это пакетное решение для вас (остальные, можете даже не качать, ибо работать без этого файла не будет):
http://rapidshare.com/files/308652107/Supe...CRYPTOR_GUI.rar
Это пакетный расшифровщик файлов зашифрованных ИМЕННО ЭТИМ ТРОЯНОМ.
НЕ ПЫТАЙТЕСЬ им расшифровать файлы зашифрованные другими крипторами, вы просто напросто испортите их окончательно без возможности восстановления!!!

Пользоваться расшифровщиком очень просто:
Распаковываете exe и dll в отдельную папку на любом диске,
запускаете exe-шник, список файлов заполняется именами зашифрованных файлов из файла CryptLogFile.txt .Нажимаете кнопку и начинается расшифровка. Не закрывайте окно до полной расшифровки всех файлов.

Это сообщение отредактировал Secur/TLG - 18.11.2009 - 11:19

Хм...вообще-то должен открыться диалог выбора файла, в котором необходимо указать исполняемый файл трояна (.exe), после чего он будет запущен и в поле ввода пароля будет вставлен верный пароль, вам останется только нажать ОК...

У кого-нибудь проблемы с инжектором еще возникали???