Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Istruzioni per gli utenti vittime di Trojan.Encoder.12544

28 giugno 2017

Il cryptolocker Trojan.Encoder.12544 si diffonde attraverso una vulnerabilità nel protocollo SMB v1 - MS17-010 (CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148) che è stata realizzata attraverso l'exploit dell'NSA "ETERNAL_BLUE", utilizza le porte TCP 139 e 445 per diffondersi. Questa è una vulnerabilità della classe Remote code execution, il che significa la possibilità di infettare un computer in remoto.

  1. Per ripristinare la possibilità di accedere al sistema operativo, è necessario ripristinare l'MBR (anche tramite gli strumenti standard della console di ripristino di Windows, avviando l'utility bootrec.exe /FixMbr). Inoltre, per questo scopo è possibile utilizzare Dr.Web LiveDisk — creare un disco o un'unità flash di avvio, eseguire l'avvio da questo dispositivo rimovibile, avviare lo scanner Dr.Web, eseguire una verifica del disco vittima, neutralizzare le minacce trovate.

  2. Dopo di che: disconnettere il PC dalla LAN, eseguire l'avvio del sistema, installare la patch MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.

  3. Quindi installare l'antivirus Dr.Web, collegare Internet, eseguire l'aggiornamento dei database dei virus, avviare una verifica completa di controllo.

Download guidato per numero di serie Demo per privati Demo per aziende

Il trojan sostituisce l'MBR (il record di avvio principale del disco) e crea nello scheduler di sistema e poi esegue un task di riavvio del sistema, in seguito a cui l'avvio dell'SO non è più possibile a causa di sostituzione del settore di avvio del disco. Subito dopo la creazione del task di riavvio del sistema si avvia il processo di criptazione dei file. Per ciascun disco viene generata la sua chiave AES che esiste in memoria fino a quando la criptazione del disco non sarà completata. Si cripta sulla base della chiave pubblica RSA e si elimina. Dopo il riavvio, se l'MBR è stato sostituito con successo, viene inoltre criptata la Tabella file master MFT in cui sono memorizzate informazioni sul contenuto del disco. Per ripristinare il contenuto dopo il completamento, è richiesto conoscere la chiave privata, così senza conoscere la chiave non è possibile ripristinare i dati.

Al momento la decriptazione di file non è disponibile, stiamo facendo un'analisi e una ricerca di soluzioni, vi informeremo dei risultati finali.

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125124, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A