да, похоже используется пара: доунлоадер + шифратор.
Цитата:
Полное имя C:\DOCUMENTS AND SETTINGS\ЗАЙЦЕВ ЕА\LOCAL SETTINGS\TEMP\5DD.TMP
Имя файла 5DD.TMP
Удовлетворяет критериям
SHIFR.MAXCRYPT@FOXMAIL2.COM (ПРОИЗВОДИТЕЛЬ ~ EXHEDRA SOLUTIONS)(1)
Оригинальное имя AddInClient.exe
Версия файла 1.00.0009
Продукт AddInClient
Copyright 2002 by Exherda Solutions, Inc.
Производитель Exhedra Solutions, Inc.
|
и
Цитата:
Полное имя C:\DOCUMENTS AND SETTINGS\ЗАЙЦЕВ ЕА\LOCAL SETTINGS\TEMP\SVCHOST.EXE
Сигнатура Win32/Filecoder.DG [ESET-NOD32] [глубина совпадения 64(64), необх. минимум 8, максимум 64]
Удовлетворяет критериям
SHIFR.MAXCRYPT@FOXMAIL2.COM (ПРОИЗВОДИТЕЛЬ ~ EXHEDRA SOLUTIONS)(1)
Оригинальное имя AddInClient.exe
Версия файла 1.00.0009
Продукт AddInClient
Copyright 2002 by Exherda Solutions, Inc.
Производитель Exhedra Solutions, Inc.
|
второй может быть добавлен в папку автозагрузка.
---------
на форуме ДрВеб создана тема по расшифровке документов с
maxcrypt@foxmail2.com но решения пока нет.
Цитата:
|
Сравнительно новый вариант шифровальщика. На данный момент ведутся исследования. Когда что-то станет понятно (возможна\невозможна дешифровка) - сообщу вам в этом запросе.
|
и
вчера.
Цитата:
Зашифровано одним из новых вариантов Trojan.Encoder.741
Никаких способов расшифровать такое на данный момент не известно.
Ведутся исследования, но каковы перспективы и сколько это займет времени - пока неизвестно.
В случае появления практически полезной для расшифровки информации мы вас известим (запрос в случае необходимости будет переоткрыт с нашей стороны).
|