После поражения компьютера в каждой папке на всех виртуальных дисках машины появляется файл readme.txt следующего содержания:
В отличие от предыдущих версий, создатель вируса использует ключи шифрования достаточно большой длины – 260 бит
Some files are coded by RSA method.
To buy decoder mail: k47674@mail.ru
with subject: REPLY
Согласно данным, предоставленным газете ВЗГЛЯД компанией «Доктор Веб», специализирующейся на антивирусных решениях, все версии троянской программы рассылаются по электронной почте в виде спам-рассылок. Однако, по словам генерального директора компании Бориса Шарова, «вирус не имеет самостоятельного механизма распространения» – то есть, попав на компьютер жертвы, он не будет, в отличие от других подобных программ, рассылать собственную копию по всей адресной книге электронной почты.
Trojan.Encoder, выполняя свои деструктивные функции, не прячется, и пользователь может обнаружить его в активных процессах Windows. Тем не менее единственное, что может прервать работу вируса (помимо, разумеется, антивирусных приложений), – это форсированное выключение компьютера, что, правда, не избавит от необходимости «лечить» машину.
В настоящее время зафиксировано несколько вариантов троянской программы. В отличие от предыдущих версий, создатель вируса использует ключи шифрования достаточно большой длины – 260 бит, что существенно усложняет процесс дешифровки пораженных им файлов.
Как отметил Борис Шаров, «предыдущие версии троянской программы можно было достаточно легко расшифровать из-за небольшой длины ключа». Однако новая модификация гораздо сильнее защищена от дешифровки и потому создать «противоядие» для нее сложнее.
Некоторое время спустя после появления вируса компания «Доктор Веб» выпустила обновления специальной утилиты дешифровки файлов, зашифрованных троянской программой Trojan.Encoder.6. Усовершенствованная утилита позволяет дешифровать файлы, зашифрованные с помощью различных шифровальных ключей. В настоящий момент механизм обезвреживания трояна уже включен в сам антивирус Dr.Web, что не требует скачивания отдельного софта.
В случае если файл зашифрован с помощью поддерживаемых вариантов ключей, он будет дешифрован и на выходе будет получен файл с расширением.decr. Готовый файл можно будет с легкостью открыть и изменить.
Первое упоминание вируса относится к январю 2006 года. Последние сообщения, связанные с данной разновидностью трояна, появились в середине апреля этого года. Повторное появление Trojan.Encoder было связано с распространением русскоязычного почтового червя массовой рассылки Win32.HLLM.Perf, известного также под именами Email-Worm.Win32.Bagle.fw, New Malware.aj, PSW.Ldpinch.AWF, TSPY_LDPINCH.IT, Trojan-PSW.Win32.LdPinch.hk, Trojan.Pinch.A@m, Trojan.Win32.Inject.z. Данный почтовый червь не вызвал какой-либо эпидемии, присутствие его в Интернете минимально, поскольку рассылает он письма исключительно на русском языке.
Trojan.Encoder.6, по словам специалистов «Доктор Веб», вряд ли вызовет крупномасштабную эпидемию в Интернете. Однако его опасность близка к максимальной и ее не стоит недооценивать. Стоит отметить, что «Лаборатория Касперского» пока не разработала собственного решения для троянской программы, а лишь предупредила об опасности нового вируса.
Эксперты обращают внимание пользователей на опасность данного трояна и призывают быть исключительно осторожными с любыми почтовыми сообщениями, приходящими от неизвестных адресатов.
Также эксперты советуют регулярно обновлять вирусные базы и не работать в системе с правами администратора. Если все же у вас возникли подозрения, что компьютер инфицирован, а антивируса на нем нет, проверьте все жесткие диски компьютера бесплатным сканером. Он не только проверит ваш компьютер, но и вылечит его в случае обнаружения инфекции, причем не только от вирусов, но и от шпионских программ и других вредоносных кодов.