Местоположение: Москва, 3-я улица Ямского поля, вл. 2, корп. 12А Посмотреть на карте
Информация о Trojan.Encoder.24384 (из Вирусной базы Доктор Веб)
Добавлен в вирусную базу Dr.Web: 2018-01-27
Описание добавлено: 2018-02-01
Версия 1.0
SHA1: b185665ded0fab4bb2588ec80f71333533d8e140
Версия 1.1
SHA1: 2245bd90b753b7fd29b7218a0ef50435c64f8767
Троянец-шифровальщик для операционных систем семейства Microsoft Windows. Самоназвание — «GandCrab!». Сообщение с требованиями вымогателей и список расширений шифруемых файлов хранятся в теле троянца зашифрованными с использованием алгоритма XOR.
Вредоносная программа может собирать информацию о наличии следующих работающих процессов антивирусов:
AVP.EXE
ekrn.exe
avgnt.exe
ashDisp.exe
NortonAntiBot.exe
Mcshield.exe
avengine.exe
cmdagent.exe
smc.exe
persfw.exe
pccpfw.exe
fsguiexe.exe
cfp.exe
msmpeng.exe
С целью предотвращения повторного запуска троянец получает имя рабочей группы в локальной сети, серийный номер тома на жестком диске и наименование модели процессора. На основании этих данных он формирует имя мьютекса. Если мьютекс с таким именем уже существует, троянец завершает работу. После этого он принудительно завершает следующие процессы:
sqlservr.exe
msftesql.exe
sqlagent.exe
sqlbrowser.exe
sqlwriter.exe
oracle.exe
ocssd.exe
dbsnmp.exe
synctime.exe
mydesktopqos.exe
agntsvc.exeisqlplussvc.exe
xfssvccon.exe
mydesktopservice.exe
ocautoupds.exe
agntsvc.exeagntsvc.exe
agntsvc.exeencsvc.exe
firefoxconfig.exe
tbirdconfig.exe
ocomm.exe
mysqld.exe
mysqld-nt.exe
mysqld-opt.exe
dbeng50.exe
sqbcoreservice.exe
excel.exe
infopath.exe
msaccess.exe
mspub.exe
onenote.exe
outlook.exe
powerpnt.exe
steam.exe
thebat.exe
thebat64.exe
thunderbird.exe
visio.exe
winword.exe
wordpad.exe
После завершения процессов троянец формирует текст сообщения с требованиями злоумышленников и создает ключевую пару RSA-2048. Затем он отсылает call-запрос на свой управляющий сервер, обнуляет в памяти приватный ключ и начинает процесс собственной установки в систему.
Если троянец запущен не из папки %APPDATA%, он создает собственную копию со случайным именем в папке %APPDATA%\Microsoft\. Путь к этому файлу сохраняется в ветви системного реестра [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] со случайным именем параметра.
Троянец шифрует содержимое фиксированных, съемных и сетевых дисков. Каждый диск шифруется в отдельном потоке. После окончания шифрования троянец отправляет на сервер данные о количестве зашифрованных файлов и времени, потраченном на шифрование. Не подвергаются шифрованию следующие папки:
ProgramData
Program Files
Tor Browser
Ransomware
All Users
Local Settings
%PROGRAM_FILESX86%
%PROGRAM_FILES_COMMON%
%WINDOWS%
%LOCAL_APPDATA%
Необходимые для шифрования данные генерируются для каждого файла, затем они шифруются публичным RSA-ключом. Зашифрованные файлы получают расширение *.GDCB.
Троянец использует управляющий сервер, доменное имя которого не разрешается стандартными способами. Для получения IP-адреса управляющего сервера энкодер выполняет команду nslookup и получает адрес из ее вывода. Если IP-адрес получить не удается, шифрование не выполняется.
Для отправки call-запроса на управляющий сервер троянец формирует строку следующего вида:
action=call&ip=123.123.123.123&pc_user=root&pc_name=PC&pc_group=WORKGROUP&pc_keyb=0&os_major=Microsoft Windows
XP&os_bit=x86&ransom_id=1111111111111111&hdd=C:FIXED_...&pub_key=...&priv_key=...&version=1.0
где:
action — тип запроса;
ip - внешний адрес инфицированного компьютера (если троянцу не удалось его получить, поле остается пустым);
pc_user — имя пользователя;
pc_name — имя компьютера;
pc_group — имя рабочей группы;
pc_keyb — код раскладки клавиатуры;
os_major — версия Windows (извлекается из ключа системного реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\productName);
os_bit — разрядность Windows;
ransom_id — идентификатор заражения;
hdd - информация о дисках;
pub_key — закодированный в base64 публичный ключ;
priv_key — закодированный в base64 приватный ключ;
version — внутренняя версия троянца.
Полученная строка шифруется с использованием алгоритма RC4, затем результат дополнительно кодируется с использованием base64. Полученные данные отсылаются на управляющий сервер POST-запросом вида %IP_ADDR%/curl.php?token=1234 (значение token извлекается из упакованного тела троянца). В ответ вредоносная программа получает закодированные с использованием base64 данные, зашифрованные тем же ключом RC4. В них может содержаться команда на самоудаление и список расширений для шифрования (тоже закодированный с помощью base64).
В настоящее время расшифровка файлов, зашифрованных этим троянцем, невозможна.
Рекомендации Dr.Web по лечению Trojan.Encoder.24384.
Windows
1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
3. Если работа операционной системы заблокирована вредоносной программой семейства Trojan.Winlock, воспользуйтесь сервисом разблокировки компьютера. Если подобрать код разблокировки не удалось, действуйте согласно инструкции, представленной в п.2.
OS X
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для OS X. Данный продукт можно загрузить с официального сайта Apple App Store.
Linux
На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.
Android
1.Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
2.Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
- загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
- после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
- выключите устройство и включите его в обычном режиме.
Материал подготовлен Компанией "Доктор Веб" (
www.drweb.com )
С его помощью можно проверить, насколько ваш бизнес защищён от киберугроз и блокировок по 115-ФЗ
Антивирусная лаборатория «Доктор Веб» обнаружила семейство вредоносных программ Trojan.Scavenger, с помощью которых злоумышленники похищают конфиденциальные данные из криптокошельков и менеджеров паролей у пользователей ОС Windows
«Доктор Веб» сообщает о предстоящем обновлении песочницы Dr.Web vxCube. Изменения касаются обеих версий: облачной и локальной (on-premise).
Производитель серверного оборудования OpenYard и российский разработчик операционных систем «Базальт СПО» успешно провели тестирование ОС «Альт Сервер» на серверах компании OpenYard
«Базальт СПО» выпустила серверную операционную систему на Одиннадцатой платформе (p11 Salvia). Основные изменения коснулись установки и настройки. Впервые в одном образе доступны две редакции — «Альт Сервер» и «Альт Домен». В новом приложении «Альт Компоненты» автоматизирована установка инструментов для различных способов использования сервера.
Кибер Бэкап Облачный, сервис резервного копирования и восстановления данных (BaaS) от компании «Киберпротект», стал доступен пользователям облачной платформы RCloud by 3data. Решение позволяет организациям любого масштаба — от малых предприятий до крупного бизнеса, обеспечить надёжную защиту данных с минимальными трудозатратами, без капитальных вложений и без необходимости развёртывания собственной инфраструктуры для резервного копирования и хранения резервных копий
Киберпротект расширяет линейку инфраструктурного ПО и представляет новый продукт — Кибер Хранилище — простое в эксплуатации хранилище данных c возможностью неограниченного масштабирования и реализации геораспределенных решений.
Киберпротект сообщает о расширении линейки продуктов для защиты данных пользователей от потери. У Кибер Бэкапа Персонального теперь есть мобильная версия для устройств на базе ОС Android. Мобильное приложение работает в фоновом режиме и обеспечивает сохранность данных на планшете или смартфоне, а также их быстрое восстановление в любой непредвиденной ситуации.
Награды получили решения компании для защиты частных пользователей, малого бизнеса и крупных компаний
Ваши контактные данные не публикуются на сайте.