28 июня 2017 года
Наделавший обильно шума червь-шифровальщик Trojan.Encoder.12544 воображает ответственную угроза для индивидуальных компьютеров, работающих под управлением Microsoft Windows. разные источники именуют его трансформацией троянца, знаменитого под именованием Petya (Trojan.Ransom.369), впрочем Trojan.Encoder.12544 имеет с ним всего-навсего некое сходство. данная вредная программа пробралась в информационные системы цельного ряда госструктур, банков так точно коммерческих организаций, а уж уж уж уж еще заразила ПК юзеров в нескольких странах.
На нынешний пора известно, точно троянец заражает компы при поддержке такого же комплекта уязвимостей, коие до этого применялось злодеями для внедрения на компы жертв троянца WannaCry. общее распространение Trojan.Encoder.12544 началось в первой половине денька 27.06.2017. При запуске на атакуемом персональном персональном компьютере троянец несколькими методиками отыскивает доступные в локальной паутине ПК, потом чего по перечню приобретенных айпишников начинает сканировать порты 445 так точно 139. заприметив в паутине машины, на коих раскрыты эти порты, Trojan.Encoder.12544 пробует инфицировать них с применением
В своем теле троянец содержит 4 сжатых ресурса, 2 из коих появляются 32- так точно 64-разрядной версиями утилиты Mimikatz, предназначенной для перехвата паролей раскрытых сессий в Windows. В зависимости от разрядности ОС он распаковывает соответственную версию утилиты, предохраняет ее во временную папку, потом чего запускает. При поддержке утилиты Mimikatz, а уж уж уж уж еще 2-мя альтернативными методиками Trojan.Encoder.12544 приобретает перечень внутрисетевых так точно доменных пользователей, авторизованных на зараженном компьютере. потом он отыскивает доступные на запись сетевые папки, пробует раскрыть них с применением приобретенных учетных заданных так точно сберечь впоследствии свою копию. дабы инфицировать компьютеры, к коим ему же получилось приобрести доступ, Trojan.Encoder.12544 применяет утилиту для управления удаленным персональным компьютером PsExec (она еще хранится в ресурсах троянца) либо нормальную консольную утилиту для вызова объектов Wmic.exe.
Контроль собственного повторного пуска энкодер производит с поддержкой файла, сохраняемого им же в папке C:Windows. данный файл имеет имя, соответственное имени троянца без расширения. так как всего-навсего распространяемый злодеями в заправдашний пора эталон глиста имеет имя perfc.dat, то файл, предотвращающий его вторичный запуск, хватит обладать имя C:Windowsperfc. Однако стоит злодеям поменять начальное имя троянца, так точно сухота в папке C:Windows файла с именованием perfc без расширения (как рекомендуют кой-какие антивирусные компании), уже перестать делать делать спасет персональный комп от заражения. помимо того, троянец производит испытание наличия файла, всего-навсего в случае в случае в случае коли у него довольно для этого привилегий в операционной системе.
После старта троянец настраивает для себя привилегии, загружает личную копию в память так точно передает ей же управление. потом энкодер перезаписывает личный файл на диске мусорными заданными так точно удаляет его. В первую черед Trojan.Encoder.12544 омрачает VBR (Volume Boot Record, загрузочная запись раздела) диска C:, основной область диска наполняется мусорными данными. потом шифровальщик копирует необычную загрузочную запись Windows в иной участок диска, за прежде зашифровав ее с применением метода XOR, а уж уж уж уж заместо нее записывает свою. дальше он формирует поручение на перезагрузку компьютера, так точно начинает шифровать абсолютно баста обнаруженные на внутрисетевых телесных дисках файлы с расширениями .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.
Троянец шифрует файлы всего-навсего на фиксированных дисках компьютера, заданные на каждом диске шифруются в отдельном потоке. Шифрование исполняется с применением алгоритмов AES-128-CBC, для всякого диска формируется личный родник (это — отличительная странность троянца, перестать делать делать отмеченная альтернативными исследователями). данный родник шифруется с применением метода RSA-2048 (другие ученые сообщали, точно применяется 800-битный ключ) так точно сберегается в корневую папку зашифрованного диска в файл с именованием README.TXT. Зашифрованные файлы перестать делать делать приобретают добавочного расширения.
После исполнения сотворенного до этого поручения персональный комп перезагружается, так точно управление передается троянской загрузочной записи. Она показывает на экране зараженного персонального персонального персонального компьютера текст, напоминающий оповещение типовой утилиты для испытания дисков CHDISK.
В это пора Trojan.Encoder.12544 шифрует MFT (Master File Table). окончив шифрование, Trojan.Encoder.12544 показывает на экране заявка злоумышленников об уплате выкупа.
Если в пора пуска на экране возникло оповещение о запуске утилиты CHDISK, неотложно отключите стол ПК. Загрузочная запись в данном случае хватит повреждена, впрочем ее можно выправить при поддержке утилиты восстановления Windows либо Консоли восстановления, загрузившись с дистрибутивного диска. Восстановление загрузочной записи традиционно перемножать в ОС Windows версии 7 так точно наиболее поздних, в случае в случае в случае коли на диске имеется применяемый системой тайный область с резервной копией критических для работы Windows данных. В Windows XP таковский методика восстановления загрузки перестать делать делать сработает. еще для этого можно задействовать Dr.Web LiveDisk — сотворите загрузочный диск либо флешку, исполните загрузку с этого съемного устройства, запустите сканер Dr.Web, исполните испытание пострадавшего диска, изберите функцию «Обезвредить» для отысканных угроз.
По сообщениям из разнообразных источников единый применяемый распространителями Trojan.Encoder.12544 сундук электронной почты в подлинное пора заблокирован, из-за этого они в принципе перестать делать делать имеют баста шансы спознаться со своими жертвами (чтобы, например, предложить расшифровку файлов).
С целью профилактики инфецирования троянцем Trojan.Encoder.12544 корпорация «Доктор Веб» советует вовремя делать резервные клоны любых критических заданных на независящих носителях, а уж уж уж уж еще задействовать функцию «Защита от утраты данных» Dr.Web Security Space. помимо того, нужно ставить абсолютно баста обновления безопасности операционной системы. эксперты фирмы «Доктор Веб» продолжают изучение шифровальщика Trojan.Encoder.12544.
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Обновление ориентировано н... Антивирус Dr.Web
4 апреля 2024 года
1 апреля 2024 года
1 апреля 2024 года