После поражения компьютера в каждой папке на всех виртуальных дисках машины появляется файл readme.txt следующего содержания:

«В отличие от предыдущих версий, создатель вируса использует ключи шифрования достаточно большой длины – 260 бит» Some files are coded by RSA method.
To buy decoder mail: k47674@mail.ru
with subject: REPLY

Согласно данным, предоставленным газете ВЗГЛЯД компанией «Доктор Веб», специализирующейся на антивирусных решениях, все версии троянской программы рассылаются по электронной почте в виде спам-рассылок. Однако, по словам генерального директора компании Бориса Шарова, «вирус не имеет самостоятельного механизма распространения» – то есть, попав на компьютер жертвы, он не будет, в отличие от других подобных программ, рассылать собственную копию по всей адресной книге электронной почты.

Trojan.Encoder, выполняя свои деструктивные функции, не прячется, и пользователь может обнаружить его в активных процессах Windows. Тем не менее единственное, что может прервать работу вируса (помимо, разумеется, антивирусных приложений), – это форсированное выключение компьютера, что, правда, не избавит от необходимости «лечить» машину.

В настоящее время зафиксировано несколько вариантов троянской программы. В отличие от предыдущих версий, создатель вируса использует ключи шифрования достаточно большой длины – 260 бит, что существенно усложняет процесс дешифровки пораженных им файлов.

Как отметил Борис Шаров, «предыдущие версии троянской программы можно было достаточно легко расшифровать из-за небольшой длины ключа». Однако новая модификация гораздо сильнее защищена от дешифровки и потому создать «противоядие» для нее сложнее.

Некоторое время спустя после появления вируса компания «Доктор Веб» выпустила обновления специальной утилиты дешифровки файлов, зашифрованных троянской программой Trojan.Encoder.6. Усовершенствованная утилита позволяет дешифровать файлы, зашифрованные с помощью различных шифровальных ключей. В настоящий момент механизм обезвреживания трояна уже включен в сам антивирус Dr.Web, что не требует скачивания отдельного софта.

В случае если файл зашифрован с помощью поддерживаемых вариантов ключей, он будет дешифрован и на выходе будет получен файл с расширением.decr. Готовый файл можно будет с легкостью открыть и изменить.

Первое упоминание вируса относится к январю 2006 года. Последние сообщения, связанные с данной разновидностью трояна, появились в середине апреля этого года. Повторное появление Trojan.Encoder было связано с распространением русскоязычного почтового червя массовой рассылки Win32.HLLM.Perf, известного также под именами Email-Worm.Win32.Bagle.fw, New Malware.aj, PSW.Ldpinch.AWF, TSPY_LDPINCH.IT, Trojan-PSW.Win32.LdPinch.hk, Trojan.Pinch.A@m, Trojan.Win32.Inject.z. Данный почтовый червь не вызвал какой-либо эпидемии, присутствие его в Интернете минимально, поскольку рассылает он письма исключительно на русском языке.

Trojan.Encoder.6, по словам специалистов «Доктор Веб», вряд ли вызовет крупномасштабную