Pendant une longue période, les « encoders » étaient très populaires uniquement en Russie et CEI,
mais depuis quelques jours, trois nouvelles modifications du Trojan.Encoder.94 sont apparues, et
sont visiblement conçues pour les pays européens. Nous pouvons supposer que les auteurs du
Trojan.Encoder.94 ont suivi l’exemple des créateurs des Winlock qui après avoir gagné des positions
en Russie ont décidé d’attaquer le reste du monde.

L’interface du trojan est en anglais, mais des cas d’infection ont déjà été détectés en Allemagne, en
Italie, en Espagne, en Angleterre, en Pologne, en Autriche, en Norvège, en Bulgarie et dans d’autres
pays. Les premières requêtes des victimes du Trojan.Encoder.94 ont été enregistrées les 09 et 10
avril 2012.

Après avoir codé les fichiers de l’utilisateur, le trojan affiche un message demandant de payer 50
euros ou livres sterling via Ukash ou Paysafecard. Les spécialistes Doctor Web ont détecté à ce jour
trois modifications anglophones du Trojan.Encoder.94, les schémas de son fonctionnement restent
identiques, seul le code de « décodage » est différent.

Le mécanisme de pénétration des nouvelles modifications du Trojan.Encoder.94 dans le PC n’a pas
encore été complètement mis à nu, mais nous supposons que les malfaiteurs profitent de
vulnérabilités connues et des downloaders. Les équipes de Recherche de Doctor Web continuent à
l’étudier.

Pour minimiser les conséquences de l’infection par le Trojan.Encoder.94, Doctor Web conseille aux
utilisateurs de sauvegarder régulièrement leurs données. Pour ceux qui seraient déjà victimes du
trojan, voici des conseils pour éviter de perdre des informations importantes :
– Ne désinstaller en aucun cas l’OS ;
– Ne supprimer aucun fichier sur le PC ;
– Ne pas chercher à restaurer les fichiers soi-même