Троян на сайте "o-trojane.22web.net"

[Ириха]

Неужели в нете нет ответа на это диво: "Уважаемый(ая) етот файл подвергся атаке вируса и если он вам чем то дорог
то не все потеряно вы можете его вернуть оставив
сообщение в гостевой книге этого сайта: http://o-trojane.22web.net/

З.Ы не забывайте оставлять в гостевой книге контактные данные по которым я
могу с вами связаться
Приятного вам дня и спасибо за внимание "
Как спасаться?

[Nuur]

Неужели в нете нет ответа на это диво: "Уважаемый(ая) етот файл подвергся атаке вируса и если он вам чем то дорог
то не все потеряно вы можете его вернуть оставив
сообщение в гостевой книге этого сайта: http://o-trojane.22web.net/

З.Ы не забывайте оставлять в гостевой книге контактные данные по которым я
могу с вами связаться
Приятного вам дня и спасибо за внимание "
Как спасаться?

совсем новая модификация просто, он шифрует файлы и самоудаляется...
ключ шифрования запредельный, походу...
ждём, решений от Гуру.

[georgestar]

Итак, вчера больше 5-ти часов изучал код этого трояна. И эти часы не пролетели даром. Было установлено, что данный троян не имеет "прописки" на компьютере, то есть он действовал по такой схеме: Пришёл, зашифровал файлы, ушёл. То есть сейчас уже можно создавать .doc документы совершенно без шифровки. К зашифрованным им файлам с расширением .cool он через свой код шифровки автоматически привязал свой сайт и информацию у трояне. Троян написан на Perl.

Порывшись в нете, я установил, что это некая модификация Trojan.Encoder, распространяемый неким "Корректором", который как и этот троян шифрует файлы. Недавно, к этому трояну была выпущена утилита от Dr.Web, которая называется Dr.Web Trojan Encoder Decrypt. Она расшифрует файлы, подвергшиеся атаки трояна и заблокирует его расширение .cool. Напоминаю, что эта утилита действует только на троян энкодер, то есть у нас-то только его модификация, мутация. Поэтому, 100% избавления от этого трояна не гарантируется. Самым же действенным средством, как и всегда, остается переустановка Винды:)
Жалко то, что у этого трояна нет "прописки" в системе, поэтому нет прямого доступа к его код. А так в его код можно было бы просто кинуть алгоритм Perl на саоудаление)

Т.ч. дерзайте) Больше нет других способов избавления от этого вымогателя)