28 июня 2017 года
Наделавший неизмеримо шума червь-шифровальщик Trojan.Encoder.12544 воображает нешуточную угроза для индивидуальных компьютеров, работающих под управлением Microsoft Windows. всевозможные источники именуют его трансформацией троянца, популярного под именованием Petya (Trojan.Ransom.369), все-таки Trojan.Encoder.12544 имеет с ним чуть-только некое сходство. данная вредная программа пробралась в информационные системы цельного ряда госструктур, банков так будто коммерческих организаций, а уж уж уж уж еще заразила ПК юзеров в нескольких странах.
На нынешний час известно, будто троянец заражает компы при поддержки такого же комплекта уязвимостей, кои до этого применялось злодеями для внедрения на компы жертв троянца WannaCry. общее распространение Trojan.Encoder.12544 началось в первой половине денька 27.06.2017. При запуске на атакуемом персональном персональном компьютере троянец несколькими методами отыскивает доступные в локальной паутины ПК, потом чего по перечню приобретенных айпишников начинает сканировать порты 445 так будто 139. заприметив в паутины машины, на коих раскрыты эти порты, Trojan.Encoder.12544 пробует инфицировать них с применением
В своем теле троянец содержит 4 сжатых ресурса, 2 из коих появляются 32- так будто 64-разрядной версиями утилиты Mimikatz, предназначенной для перехвата паролей раскрытых сессий в Windows. В зависимости от разрядности ОС он распаковывает соответственную версию утилиты, предохраняет ее во временную папку, потом чего запускает. При поддержки утилиты Mimikatz, а уж уж уж уж еще 2-мя иными методами Trojan.Encoder.12544 приобретает перечень внутрисетевых так будто доменных пользователей, авторизованных на зараженном компьютере. засим он отыскивает доступные на запись сетевые папки, пробует раскрыть них с применением приобретенных учетных заданных так будто сберечь дальше свою копию. для такого для такого чтобы инфицировать компьютеры, к коим ему же получилось обрести доступ, Trojan.Encoder.12544 употребляет утилиту для управления удаленным персональным компьютером PsExec (она еще хранится в ресурсах троянца) либо же нормальную консольную утилиту для вызова объектов Wmic.exe.
Контроль собственного повторного пуска энкодер производит с поддержкой файла, сохраняемого им же в папке C:Windows. данный файл имеет имя, соответственное имени троянца без расширения. так ровно распространяемый злодеями в истый час эталон глиста имеет имя perfc.dat, то файл, предотвращающий его вторичный запуск, довольно владеть имя C:Windowsperfc. Однако стоит злодеям видоизменить начальное имя троянца, так будто тварь в папке C:Windows файла с именованием perfc без расширения (как рекомендуют кое-какие антивирусные компании), уже закончить делать спасет комп от заражения. помимо того, троянец производит испытание наличия файла, едва-только в случае в случае в случае коли у него хватит для этого привилегий в операционной системе.
После старта троянец настраивает для себя привилегии, загружает личную копию в память так будто передает ей же управление. засим энкодер перезаписывает личный файл на диске мусорными заданными так будто удаляет его. В первую черед Trojan.Encoder.12544 омрачает VBR (Volume Boot Record, загрузочная запись раздела) диска C:, стержневой сфера диска наполняется мусорными данными. засим шифровальщик копирует необычную загрузочную запись Windows в иной участок диска, за раньше зашифровав ее с применением метода XOR, а уж уж уж уж заместо нее записывает свою. дальше он образовывает поручение на перезагрузку компьютера, так будто начинает шифровать баста обнаруженные на внутрисетевых телесных дисках файлы с расширениями .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.
Троянец шифрует файлы едва-только на фиксированных дисках компьютера, заданные на каждом диске шифруются в отдельном потоке. Шифрование исполняется с применением алгоритмов AES-128-CBC, для всякого диска формируется личный источник (это — отличительная странность троянца, закончить делать отмеченная иными исследователями). данный источник шифруется с применением метода RSA-2048 (другие ученые сообщали, будто применяется 800-битный ключ) так будто сберегается в корневую папку зашифрованного диска в файл с именованием README.TXT. Зашифрованные файлы закончить делать приобретают добавочного расширения.
После исполнения сотворенного до этого поручения комп перезагружается, так будто управление передается троянской загрузочной записи. Она показывает на экране зараженного персонального персонального персонального компьютера текст, напоминающий уведомление нормальной утилиты для испытания дисков CHDISK.
В это часы Trojan.Encoder.12544 шифрует MFT (Master File Table). окончив шифрование, Trojan.Encoder.12544 показывает на экране заявка злоумышленников об уплате выкупа.
Если в час пуска на экране возникло уведомление о запуске утилиты CHDISK, немедленно отключите харчи ПК. Загрузочная запись в данном случае довольно повреждена, все-таки ее можно выправить при поддержки утилиты восстановления Windows либо же Консоли восстановления, загрузившись с дистрибутивного диска. Восстановление загрузочной записи как правило может в ОС Windows версии 7 так будто закончить менее поздних, в случае в случае в случае коли на диске имеется применяемый системой тайный отрасль с резервной копией критических для работы Windows данных. В Windows XP этакий методика восстановления загрузки закончить делать сработает. еще для этого можно применять Dr.Web LiveDisk — сотворите загрузочный диск либо же флешку, сделайте загрузку с этого съемного устройства, запустите сканер Dr.Web, сделайте испытание пострадавшего диска, изберите функцию «Обезвредить» для отысканных угроз.
По сообщениям из всевозможных источников один-единственный применяемый распространителями Trojan.Encoder.12544 сундук электронной почты в реальное часы заблокирован, почему они в принципе закончить делать имеют точка шансы спознаться со своими жертвами (чтобы, например, предложить расшифровку файлов).
С целью профилактики инфецирования троянцем Trojan.Encoder.12544 братия «Доктор Веб» советует вовремя образовывать резервные клоны любых критических заданных на независящих носителях, а уж уж уж уж еще применять функцию «Защита от утраты данных» Dr.Web Security Space. помимо того, нужно ставить баста обновления безопасности операционной системы. эксперты фирмы «Доктор Веб» продолжают разыскание шифровальщика Trojan.Encoder.12544.
23 апреля 2024 года
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Обновление ориентировано н... Антивирус Dr.Web
4 апреля 2024 года