Напомним: троянцы семейства Trojan.Encoder представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку. Зашифрованными могут оказаться файлы *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar и так далее.
Со всем семейством этого вируса познакомиться лично не удалось, но, как показывает практика, метод заражения, лечения и расшифровки у всех примерно похожи:
1. жертва заражается через спам-письмо с вложением (реже инфекционным путем),
2. вирус распознается и удаляется (уже) почти любым антивирусом со свежими базами,
3. файлы расшифровываются путем подбора паролей-ключей к используемым видам шифрования.
Например, в Trojan.Encoder.225 используется шифрование RC4 (модифицированный) + DES, а в Trojan.Encoder.263 - BlowFish в CTR-режиме. Эти вирусы на данный момент расшифровываются на 99% исходя из личной практики.

Но не всё так гладко. Некоторые вирусы-шифровальщики требуют месяцы непрерывной дешифровки (Trojan.Encoder.102), а другие (Trojan.Encoder.283) и вовсе не поддаются корректной расшифровке даже для специалистов компании «Доктор Вэб», которая, собственно, играет ключевую роль в данной статье.

Теперь по порядку.

В начале августа 2013 года ко мне обратились клиенты с проблемой зашифрованных файлов вирусом Trojan.Encoder.225. Вирус, на тот момент, новый, никто ничего не знает, в интернете информации 2-3 тематических ссылки гугла. После продолжительных поисков на просторах интернета выясняется, что единственная (найденная) организация, которая занимается проблемой расшифровки файлов после этого вируса - это компания «Доктор Веб». А именно: дает рекомендации, помогает при обращении в тех.поддержку, разрабатывает собственные дешифровщики и т.д.

Негативное отступление.

И, пользуясь случаем, хочу отметить два жирнющих минуса «Лаборатории Касперского». Которые, при обращении в их тех.поддержку, отмахиваются «мы работаем над этим вопросом, о результатах уведомим по почте». И еще, минус в том - что ответа на запрос я так и не получил. Спустя 4 месяца. Ни«хрена» себе время реакции. А я тут стремлюсь к стандарту «не более одного часа с оформления заявки».
Стыдно, товарищ Евгений Касперский , генеральный директор «Лаборатории Касперского». А ведь у меня добрая половина всех компаний «сидит» на нем. Ну да ладно, лицензии кончаются в январе-марте 2014 года. Стоит ли говорить о том, буду ли я продлевать лицензию?;)

Представляю лица «спецов» из компаний «попроще», так сказать НЕгигантов антивирусной индустрии. Наверное вообще «забились в уголок» и «тихо плакали».
Хотя, что уж там, абсолютно все «лоханулись» по полной. Антивирус, в принципе, не должен был допустить попадание этого вируса на комп. Тем более учитывая современные технологии. А у «них», ГИГАНТОВ антиВИРУСНОЙ индустрии, якобы всё схвачено, «эврестический анализ», «система упреждения», «проактивная защита»…

ГДЕ ЭТИ ВСЕ СУПЕР-СИСТЕМЫ БЫЛИ, КОГДА РАБОТНИК ОТДЕЛА КАДРОВ ОТКРЫВАЛ «БЕЗОБИДНОЕ» ПИСЬМО С ТЕМОЙ «РЕЗЮМЕ»???
Что должен был подумать сотрудник?
Если ВЫ не можете нас защитить, то зачем ВЫ нам нужны вообще?

И всё бы хорошо было с «Доктор Вэб», да только чтобы получить помощь, надо, естественно, иметь лицензию на какой либо их программный продукт. При обращении в тех.поддержку (далее ТП) надо предоставить серийный номер Dr.Web и не забыть в строке «Категория запроса:» выбрать «запрос на лечение» или просто предоставить им зашифрованный файл в лабораторию. Сразу оговорюсь, что так называемые «журнальные ключи» Dr.Web, которые в интернете выкладываются пачками, не подходят, так как не подтверждают приобретение каких либо программных продуктов, и отсеиваются специалистами ТП на раз-два. Проще купить самую «дешманскую» лицензию. Потому как если вы взялись за расшифровку - вам эта лицензия окупится в «мулион» раз. Особенно если папка с фотками «Египет 2012» была в одном экземпляре…

Попытка №1

Итак, купив «лицензию на 2 ПК на год» за н-сумму денег, обратившись в ТП и предоставив некоторые файлы я получил ссылку на утилиту-дешифровщик te225decrypt.exe версии 1.3.0.0. В предвкушении успеха, запускаю утилиту (надо указать ей на один из зашифрованных *.doc файлов). Утилита начинает подбор, нещадно загружая на 90-100% старенький процессор E5300 DualCore, 2600 MHz (разгон до 3,46Ггц) /8192 MB DDR2-800, HDD 160Gb Western Digital.
Тут, параллельно со мной в работу включается коллега на ПК core i5 2500k (разгон до 4.5ghz) /16 ram 1600/ ssd intel (это для сравнения затраченного времени в конце статьи).
Спустя 6 суток у меня утилита отрапортовала об расшифровке 7277 файлов. Но счастье длилось не долго. Все файлы расшифровались «криво». То есть, например, документы microsoft office открываются, но с разными ошибками: «Приложением Word в документе *.docx обнаружено содержимое, которое не удалось прочитать» или «Не удается открыть файл *.docx из-за ошибок его содержимого». Файлы *.jpg тоже открываются либо с ошибкой, либо 95% изображения оказывается затертым черным или салатово-зелёным фоном. У файлов *.rar - «Неожиданный конец архива».
В общем полная неудача.

Попытка №2

Пишем в ТП о результатах. Просят предоставить пару файлов. Через сутки опять дают ссылку на утилиту te225decrypt.exe, но уже версии 1.3.2.0. Ну что ж, запускаем, альтернативы то все равно не было тогда. Проходит около 6 суток и утилита завершает свою работу ошибкой «Невозможно подобрать параметры шифрования». Итого 13 суток «коту под хвост».
Но мы не сдаемся, на счету важные документы нашего *бестолкового* клиента без элементарных бэкапов.

Попытка №3

Пишем в ТП о результатах. Просят предоставить пару файлов. И, как вы уже догадались, спустя сутки дают ссылку на всё ту же утилиту te225decrypt.exe, но уже версии 1.4.2.0. Ну что ж, запускаем, альтернативы то как не было, так и не появилось ни от Лаборатории Касперского, ни от ESET NOD32 ни от других производителей антивирусных решений. И вот, спустя 5 суток 3 часа 14 минут (123,5 часа) утилита сообщает о расшифровке файлов (у коллеги на core i5 расшифровка заняла всего 21 час 10 минут).
Ну, думаю, была-небыла. И о чудо: полный успех! Все файлы расшифрованы корректно. Всё открывается, закрывается, смотрится, редактируется и сохраняется исправно.

Все счастливы, THE END.

«А где же история про вирус Trojan.Encoder.263?», спросите вы. А на соседнем ПК, под столом… была. Там всё было проще: Пишем в ТП «Доктора Вэба», получаем утилиту te263decrypt.exe, запускаем, ждем 6,5 суток, вуаля! и всё готово.Подведя итог, могу привести несколько советов с форума «Доктор Вэб» в моей редакции:

Что необходимо сделать в случае заражения вирусом-шифровальщиком:
- прислать в вирусную лабораторию Dr. Web или в форму «Отправить подозрительный файл» зашифрованный doc-файл.
- Дожидаться ответа сотрудника Dr.Web и далее следовать его указаниям.

Что НЕ нужно делать:
- менять расширение у зашифрованных файлов; Иначе, при удачно подобранном ключе утилита просто не «увидит» файлов, которые надо расшифровать.
- использовать самостоятельно без консультации со специалистами любые программы для расшифровки/восстановления данных.

Внимание, имея свободный от других задач сервак, рпедлагаю свои безвозмездные услуги по расшифровке ВАШИХ данных. Сервак core i7-3770K c разгоном до *определенных частот*, 16ГБ ОЗУ и SSD Vertex 4.
Для всех активных пользователей «хабра» использование моих ресурсов будет БЕСПЛАТНА!!!
Пишите мне в личку или по иным контактам. Я на этом уже «собаку съел». Поэтому мне не лень на ночь поставить сервак на расшифровку.
Этот вирус - «бич» современности и брать «бабло» с однополчан - это не гуманно. Хотя, если кто-нибудь «бросит» пару баксов на мой счет яндекс.деньги 410011278501419 - я буду не против. Но это совсем не обязательно. Обращайтесь. Обрабатываю заявки в своё свободное время.

Новые сведенья!

Начиная с 08.12.2013 года началось распространение нового вируса из всё той же серии Trojan.Encoder под классификацией «Доктора Вэба» - Trojan.Encoder.263, но с шифрованием RSA. Данный вид на сегодняшнее число (20.12.2013г.) не поддается расшифровке , так как использует очень устойчивый метод шифрования.

Всем, кто пострадал от этого вируса рекомендую:
1. Используя встроенный поиск windows найти все файлы, содержащие расширение.perfect, скопировать их на внешний носитель.
2. Скопировать так же файл CONTACT.txt
3. Положить этот внешний носитель «на полочку».
4. Ждать появления утилиты-дешифратора.

Что НЕ надо делать:
Не надо связываться со злоумышленниками. Это глупо. В более чем 50% случаев после «оплаты» в, примерно, 5000р., вы не получите НИЧЕГО. Ни денег, ни дешефратора.
Справедливости ради стоит отметить, что в интернете есть те «счастливчики», которые за «бабло» получали свои файлы обратно путем дешифрования. Но, верить этим людям не стоит. Будь я вирусописателем, первое, чтоб я сделал - дак это распространил информацию типа «я заплатил и мне выслали дешифратор!!!».
За этими «счастливчиками» могут быть всё те же злоумышленники.

Что ж… пожелаем удачи остальным антивирусным компаниям в создании утилиты по дешифровке файлов после вирусов группы Trojan.Encoder.

Отдельная благодарность за проделанную работу по созданию утилит-дешифраторов товарищу v.martyanov`у с форума «Доктор Вэб».

Программы шифрование файлов

Шифровать все!

Каждый раз, когда в интернет просачивается информация о скандале, связанном с тем, что куда-нибудь просочились важные документы, я спрашиваю себя, почему они не были зашифрованы? Защита документов должна быть везде, в конце концов.

Алгоритмы шифрования

Алгоритм шифрования похож на черный ящик. Дамп документа, изображения или другой файл, который вы загружаете в него, вы получаете обратно. Но то, что вы видите, кажется бредом.

Превратить эту тарабарщину обратно в нормальный документ можно через окно с тем же паролем, который вы вводили при шифровании. Только так вы получите оригинал.

Правительство США признали Расширенный стандарт шифрования (AES) в качестве стандарта, и все продукты, которые здесь собраны, поддерживают стандарт шифрования AES.

Даже те, кто поддерживает другие алгоритмы, как правило, рекомендуют использовать AES.

Если вы эксперт шифрования, вы можете предпочесть другой алгоритм, Blowfish, и возможно, даже алгоритм Советского правительства по ГОСТу.

Но это уже совсем для любителей экстремальных развлечений. Для рядового пользователя AES - это просто отличное решение.

Криптография с открытым ключом и обмен

Пароли важны, и вы должны держать их в тайне, верно? Ну, не при использовании инфраструктуры открытых ключей (PKI), которая используется при криптографии.

Если я хочу послать вам секретный документ, я просто шифрую его с помощью открытого ключа. Когда вы его получите, вы сможете его использовать, чтобы расшифровать документ. Все просто!

Используя эту систему в обратном направлении, можно создать цифровую подпись, которая подтверждает, что ваш документ пришел от вас и не был изменен. Как? Просто зашифруйте его своим закрытым ключом.

Тот факт, что ваш открытый ключ расшифровывает его, является доказательством, что у вас есть право на его редактирование.

Поддержка PKI является менее распространенной, чем поддержка традиционных симметричных алгоритмов.

Многие продукты позволяют создание саморасшифровывающихся исполняемых файлов.

Также вы можете обнаружить, что получатель может использовать бесплатно определенный инструмент только для расшифровки.

Что лучше?

Сейчас есть огромный выбор продуктов, доступный в области шифрования.

Каждый просто должен выбрать то решение, которое будет удобно по функционалу, практично и стильно с точки зрения интерфейса основного окна программы.

Цифровой CertainSafe сейф проходит через многоступенчатый алгоритм безопасности, которая идентифицирует вас на сайте. Вам придется каждый раз проходить несколько проверок подлинности.

Ваши файлы зашифрованы, если их попытаются взломать, они рассыпятся на части, и никто не сможет их воссоздать. В этом случае существует определенный риск, но при этом, и уровень надежности очень достойный.

Затем каждый кусок файла хранится на другом сервере. Хакер, который смог взломать один из серверов, не сможет сделать ничего полезного.

Блокировка может зашифровать файлы или просто запереть их, чтобы никто не мог их открыть. Она также предлагает зашифрованные шкафчики для безопасного хранения личной конфиденциальной.

Среди многих других полезных функций можно отметить возможность измельчения, шинковки свободного пространства, безопасное сетевое резервное копирование и саморасшифровывающиеся файлы.

ShowExif – небольшая утилита для просмотра дополнительной информации (метаданных) об изображении. Поддерживает большое количество расширений фотографий.

ShowExif позволяет извлекать и просматривать данные из exif-файла. Например, стандартные параметры (размер изображения, разрешение, время и дата съемки, ориентация, баланс белого и т. д.), информацию о фотоаппарате (производитель, модель объектива, пробег и др.), параметры цвета и т. д. Также программа показывает, было ли фото обработано графическим редактором (например, Adobe Photoshop).

Интерфейс

Главное окно ShowExif разделено на несколько блоков. Слева и в центре находится проводник, через который вы можете найти нужное изображение. После того, как вы выбрали фото, его превью появится слева сверху, а в правой колонке отобразится подробная информация, для удобства отсортированная по разделам. В зависимости от изображения, показываемые данные могут отличаться (например, отсутствие информации о фотоаппарате).

Среди дополнительных функций – сохранение данных exif-файла на диск, добавление закладок, сохранение истории и многое другое.

Особенности программы

Просмотр подробной информации о фотографии (разрешение, модель фотоаппарата и объектива, количество срабатываний затвора (пробег) и т. д).
Встроенный проводник для удобного поиска изображений.
Сохранение данных из exif-файла.
Поддержка многих расширений фотографий.
Интерфейс на русском языке.
Поддержка Windows XP и выше.

ShowExif – это небольшая и удобная программа для просмотра данных из exif-файла, которую можно скачать бесплатно.

ShowExif – это бесплатная русскоязычная профессиональная утилита для ОС Windows, представляющая собой менеджер сбора информации. Программа дает возможность просматривать метаданные цифровых изображений с профессиональных камер. В программу встроен собственный простой и понятный в использовании файловый браузер.

Ключевые особенности

• поддерживается всеми версиями Windows;
• доступ к программе бесплатный;
• язык утилиты - русский;
• работает без установки;
• удобный и понятный интерфейс;
• загрузка и сбор данных происходят практически моментально;
• показывает метаданные снимков с последующей возможностью их копировать, удалять, сохранять;
• показывает пробег камер, которые имеют счетчик затвора.

Применение

Эта программа не столь популярна, как редакторы и конвертеры графических изображений, которые обычные пользователи используют регулярно. Однако ShowExif решает ряд специфических задач, с которыми в процессе работы нередко сталкиваются профессиональные фотографы и дизайнеры. Программа открывает доступ к метаданным фотоснимков, среди них технические характеристики, теги, краткое описание и другие. Эти данные ShowExif собирает в каталог по отдельным признакам, впоследствии из таких каталогов можно создать собственную библиотеку цифровых изображений. Программа поддерживает все форматы графики и дает возможность их конвертации. 5 настраиваемых фильтров для сортировки данных, значительно облегчают работу с ними.

Особые возможности

Программа ShowExif сразу после загрузки готова к запуску и использованию, без предварительной установки. Рабочее окно программы представляет собой таблицу данных и панель управления.Самая часто используемая функция утилиты - просмотр “пробега” фотокамеры. Чтобы узнать количество снимков за всю “жизнь” камеры, нужно выполнить следующие действия:

• сделать фотографию и загрузить ее на компьютер;
• используемый формат - RAW;
• открыть снимок на компьютере с помощью браузера утилиты ShowExif;
• в отобразившемся меню в левой части таблицы выбрать пункт “Total Number of Shutter Releases”.

Число напротив этого пункта и есть счетчик, ведущий учет закрываемого затвора, который показывает “пробег” фотоаппарата. Со всеми полученными данными в ходе сканирования программой можно совершать следующие действия: копировать, удалять, сохранять, добавлять “превью” изображений.

Зеркальные фотоаппараты - весьма дорогие цифровые устройства, стоимостью до нескольких тысяч долларов, а потому не удивительно, что насыщенной жизнью живет рынок бэушных зеркалок, что выгодно всем. Продавец может продать камеру из-за ненадобности или покупки новой модели, а покупатель может приобрести за доступные деньги отличную камеру, так же это хороший вариант для новичков.

Количество сделанных кадров - лучшая характеристика цифровых фотоаппаратов. Не время владения камерой, не дата выпуска модели, а именно число снимков определяет реальный пробег зеркалки или обычной мыльницы. Производители для каждой камеры определяют некоторый ресурс - 50 000, 100 000, 200 000 кадров, которые фотоаппарат обязательно сделает. Разумеется, после этого рубежа он не обязательно сломается или выйдет из строя, просто это гарантированный ресурс камеры. А потому при обосновании цены фотоаппарата и продавцу, и покупателю необходимо знать число сделанных кадров.

Как узнать количество кадров зеркалки из EXIF данных

Нумерацию кадров легко изменить, поэтому для определения реального пробега фотоаппарата необходимо заглянуть чуть дальше - в EXIF данные фотографий. Однако далеко не все программы и графические редакторы их видят, поэтому ниже предлагаем вам две программы для просмотра EXIF данных.

Примечание : открывать следует оригинальные файлы фотографий, сделанные камерой, а не обработанные в фотошопе или другом графическом редакторе!

Программа ShowEXIF

ShowEXIF не требует установки, просто скачиваем программу по , и запускаем. В левой части экрана в дереве каталогов открываем нужную папку и фотографию в ней. В правой части появится список характеристик файла - в нем ищем строку Total Number of Shutter Releases , которая и показывает число срабатываний затвора цифровой камеры.


ShowEXIF подходит для многих моделей Nikon, поэтому если у вас камера другого производителя или ShowEXIF не работает с вашей зеркалкой Nikon, используйте альтернативную бесплатную программу.

Программа Shutter Count Viewer

Программа Shutter Count Viewer аналогична предыдущей, однако поддерживает большее количество фотокамер. Принцип работы тот же - скачиваем, разархивируем, запускаем, открываем файл и смотрим характеристики. В строке Shutter Count программа покажет число срабатываний затвора, а так же его ресурс, а котором мы говорили выше.
Скачать программу можно напрямую