Torna alla lista delle notizie
Istruzioni per gli utenti vittime di Trojan.Encoder.12544
28 giugno 2017
Il cryptolocker Trojan.Encoder.12544 si diffonde attraverso una vulnerabilità nel protocollo SMB v1 - MS17-010 (CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148) che è stata realizzata attraverso l'exploit dell'NSA "ETERNAL_BLUE", utilizza le porte TCP 139 e 445 per diffondersi. Questa è una vulnerabilità della classe Remote code execution, il che significa la possibilità di infettare un computer in remoto.
Per ripristinare la possibilità di accedere al sistema operativo, è necessario ripristinare l'MBR (anche tramite gli strumenti standard della console di ripristino di Windows, avviando l'utility bootrec.exe /FixMbr). Inoltre, per questo scopo è possibile utilizzare Dr.Web LiveDisk — creare un disco o un'unità flash di avvio, eseguire l'avvio da questo dispositivo rimovibile, avviare lo scanner Dr.Web, eseguire una verifica del disco vittima, neutralizzare le minacce trovate.
Dopo di che: disconnettere il PC dalla LAN, eseguire l'avvio del sistema, installare la patch MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.
Sui computer con gli obsoleti SO Windows XP e Windows 2003 è necessario installare le patch di sicurezza manualmente scaricandole attraverso i link diretti:
- Windows XP SP3:
- download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
- Windows Server 2003 x86:
- download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
- Windows Server 2003 x64:
- download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
- Quindi installare l'antivirus Dr.Web, collegare Internet, eseguire l'aggiornamento dei database dei virus, avviare una verifica completa di controllo.
Download guidato per numero di serie Demo per privati Demo per aziende
Il trojan sostituisce l'MBR (il record di avvio principale del disco) e crea nello scheduler di sistema e poi esegue un task di riavvio del sistema, in seguito a cui l'avvio dell'SO non è più possibile a causa di sostituzione del settore di avvio del disco. Subito dopo la creazione del task di riavvio del sistema si avvia il processo di criptazione dei file. Per ciascun disco viene generata la sua chiave AES che esiste in memoria fino a quando la criptazione del disco non sarà completata. Si cripta sulla base della chiave pubblica RSA e si elimina. Dopo il riavvio, se l'MBR è stato sostituito con successo, viene inoltre criptata la Tabella file master MFT in cui sono memorizzate informazioni sul contenuto del disco. Per ripristinare il contenuto dopo il completamento, è richiesto conoscere la chiave privata, così senza conoscere la chiave non è possibile ripristinare i dati.
Al momento la decriptazione di file non è disponibile, stiamo facendo un'analisi e una ricerca di soluzioni, vi informeremo dei risultati finali.
Vota
Rilancia la notizia sui social
![[VK]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Metti il "Like"
![[facebook]](http://st.drweb.com/static/new-www/social/no_radius/facebook.png)
La tua opinione conta per noi
Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.
Altri commenti