|
Вредоносная программа семейства Trojan-Ransom.Win32.Xorist предназначена для несанкционированной пользователем модификации данных на компьютере-жертве таким образом, чтобы сделать невозможным работу с ними, либо блокировать нормальную работу компьютера. После того, как данные «взяты в заложники» (блокированы), пользователю выдвигается требование выкупа.
Озвученную в требовании сумму жертва должна передать злоумышленнику, после чего злоумышленник обещает выслать программу для восстановления данных или нормальной работоспособности компьютера.
Для борьбы с вредоносными программами семейства Trojan-Ransom.Win32.Xorist.a-u предназначена утилита XoristDecryptor.exe.
Лечение зараженной системы
-
Скачайте архив XoristDecryptor.zip. Распакуйте архив, используя программу-архиватор, например, WinZip.
-
Запустите файл XoristDecryptor.exe.
При запуске утилиты без параметров выполняется поиск ключа, которым были зашифрованы файлы, при нахождении - ключ используется для расшифровки всех файлов.
Дополнительные ключи для запуска утилиты из командной строки
-l <имя_файла> - запись отчета в файл.
-y - закрытие окна по окончании работы утилиты.
Признаки заражения
- На экран неожиданно выводятся сообщения с требованием отправки смс-сообщения за расшифровку файлов. Примеры сообщений от разных модификаций вредоносной программы семейства Trojan-Ransom.Win32.Xorist приведены ниже:
.jpg)
.jpg)
- Также вместо сообщения может создаваться текстовый файл в корне диска C с именем "Прочти Меня - как расшифровать файлы":
.jpg)
.jpg)
.jpg)
Возможно, что текстовый файл будет на английском языке.
.jpg)
- В папке Windows присутствует файл с именем CryptLogFile.txt.
- Троянская программа шифрует все файлы с расширениями:
doc,xls,docx,xlsx,db,mp3,waw,jpg,jpeg,txt,rtf,pdf,rar,zip,psd,msi,tif,wma,lnk,gif,bmp,ppt,pptx,docm,xlsm, pps,ppsx,ppd,tiff,eps,png,ace,djvu,xml,cdr,max,wmv,avi,wav,mp4,pdd,
html,css,php,aac,ac3,amf,amr,mid,midi,mmf,mod,mp1,mpa,mpga,mpu,nrt,oga,ogg,pbf,ra,ram,raw,saf,val,wave,wow,wpk,3g2,3gp,3gp2,3mm,amx,avs,bik,bin,dir,divx,dvx,evo,
flv,qtq,tch,rts,rum,rv,scn,srt,stx,svi,swf,trp,vdo,wm,wmd,wmmp,wmx,wvx,xvid,3d,3d4,3df8,pbs,adi,ais,amu,arr,bmc,bmf,cag,cam,dng,ink,jif,jiff,jpc,jpf,jpw,mag,mic,mip,msp,nav,
ncd,odc,odi,opf,qif,qtiq,srf,xwd,abw,act,adt,aim,ans,asc,ase,bdp,bdr,bib,boc,crd,diz,dot,dotm,dotx,dvi,dxe,mlx,err,euc,faq,fdr,fds,gthr,idx,kwd,lp2,ltr,man,mbox,msg,nfo,now,odm,
oft,pwi,rng,rtx,run,ssa,text,unx,wbk,wsh,7z,arc,ari,arj,car,cbr,cbz,gz,gzig,jgz,pak,pcv,puz,r00,r01,r02,r03,rev,sdn,sen,sfs,sfx,sh,shar,shr,sqx,tbz2,tg,tlz,vsi,wad,war,xpi,z02,z04,zap,
zipx,zoo,ipa,isu,jar,js,udf,adr,ap,aro,asa,ascx,ashx,asmx,asp,aspx,asr,atom,bml,cer,cms,crt,dap,htm,moz,svr,url,wdgt,abk,bic,big,blp,bsp,cgf,chk,col,cty,dem,elf,ff,gam,grf,h3m,
h4r,iwd,ldb,lgp,lvl,map,md3,mdl,mm6,mm7,mm8,nds,pbp,ppf,pwf,pxp,sad,sav,scm,scx,sdt,spr,sud,uax,umx,unr,uop,usa,usx,ut2,ut3,utc,utx,uvx,uxx,vmf,vtf,w3g,w3x,wtd,wtf,ccd,
cd,cso,disk,dmg,dvd,fcd,flp,img,iso,isz,md0,md1,md2,mdf,mds,nrg,nri,vcd,vhd,snp,bkf,ade,adpb,dic,cch,ctt,dal,ddc,ddcx,dex,dif,dii,itdb,itl,kmz,lcd,lcf,mbx,mdn,odf,odp,ods,pab,
pkb,pkh,pot,potx,pptm,psa,qdf,qel,rgn,rrt,rsw,rte,sdb,sdc,sds,sql,stt,t01,t03,t05,tcx,thmx,txd,txf,upoi,vmt,wks,wmdb,xl,xlc,xlr,xlsb,xltx,ltm,xlwx,mcd,cap,cc,cod,cp,cpp,cs,csi,dcp,
dcu,dev,dob,dox,dpk,dpl,dpr,dsk,dsp,eql,ex,f90,fla,for,fpp,jav,java,lbi,owl,pl,plc,pli,pm,res,rnc,rsrc,so,swd,tpu,tpx,tu,tur,vc,yab,8ba,8bc,8be,8bf,8bi8,bi8,8bl,8bs,8bx,8by,8li,
aip,amxx,ape,api,mxp,oxt,qpx,qtr,xla,xlam,xll,xlv,xpt,cfg,cwf,dbb,slt,bp2,bp3,bpl,clr,dbx,jc,potm,ppsm,prc,prt,shw,std,ver,wpl,xlm,yps.
|
469 
28.12.2009 11:57
