Местоположение: Москва, 3-я улица Ямского поля, вл. 2, корп. 12А Посмотреть на карте
Информация о Trojan.Encoder.24384 (из Вирусной базы Доктор Веб)
Добавлен в вирусную базу Dr.Web: 2018-01-27
Описание добавлено: 2018-02-01
Версия 1.0
SHA1: b185665ded0fab4bb2588ec80f71333533d8e140
Версия 1.1
SHA1: 2245bd90b753b7fd29b7218a0ef50435c64f8767
Троянец-шифровальщик для операционных систем семейства Microsoft Windows. Самоназвание — «GandCrab!». Сообщение с требованиями вымогателей и список расширений шифруемых файлов хранятся в теле троянца зашифрованными с использованием алгоритма XOR.
Вредоносная программа может собирать информацию о наличии следующих работающих процессов антивирусов:
AVP.EXE
ekrn.exe
avgnt.exe
ashDisp.exe
NortonAntiBot.exe
Mcshield.exe
avengine.exe
cmdagent.exe
smc.exe
persfw.exe
pccpfw.exe
fsguiexe.exe
cfp.exe
msmpeng.exe
С целью предотвращения повторного запуска троянец получает имя рабочей группы в локальной сети, серийный номер тома на жестком диске и наименование модели процессора. На основании этих данных он формирует имя мьютекса. Если мьютекс с таким именем уже существует, троянец завершает работу. После этого он принудительно завершает следующие процессы:
sqlservr.exe
msftesql.exe
sqlagent.exe
sqlbrowser.exe
sqlwriter.exe
oracle.exe
ocssd.exe
dbsnmp.exe
synctime.exe
mydesktopqos.exe
agntsvc.exeisqlplussvc.exe
xfssvccon.exe
mydesktopservice.exe
ocautoupds.exe
agntsvc.exeagntsvc.exe
agntsvc.exeencsvc.exe
firefoxconfig.exe
tbirdconfig.exe
ocomm.exe
mysqld.exe
mysqld-nt.exe
mysqld-opt.exe
dbeng50.exe
sqbcoreservice.exe
excel.exe
infopath.exe
msaccess.exe
mspub.exe
onenote.exe
outlook.exe
powerpnt.exe
steam.exe
thebat.exe
thebat64.exe
thunderbird.exe
visio.exe
winword.exe
wordpad.exe
После завершения процессов троянец формирует текст сообщения с требованиями злоумышленников и создает ключевую пару RSA-2048. Затем он отсылает call-запрос на свой управляющий сервер, обнуляет в памяти приватный ключ и начинает процесс собственной установки в систему.
Если троянец запущен не из папки %APPDATA%, он создает собственную копию со случайным именем в папке %APPDATA%\Microsoft\. Путь к этому файлу сохраняется в ветви системного реестра [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] со случайным именем параметра.
Троянец шифрует содержимое фиксированных, съемных и сетевых дисков. Каждый диск шифруется в отдельном потоке. После окончания шифрования троянец отправляет на сервер данные о количестве зашифрованных файлов и времени, потраченном на шифрование. Не подвергаются шифрованию следующие папки:
ProgramData
Program Files
Tor Browser
Ransomware
All Users
Local Settings
%PROGRAM_FILESX86%
%PROGRAM_FILES_COMMON%
%WINDOWS%
%LOCAL_APPDATA%
Необходимые для шифрования данные генерируются для каждого файла, затем они шифруются публичным RSA-ключом. Зашифрованные файлы получают расширение *.GDCB.
Троянец использует управляющий сервер, доменное имя которого не разрешается стандартными способами. Для получения IP-адреса управляющего сервера энкодер выполняет команду nslookup и получает адрес из ее вывода. Если IP-адрес получить не удается, шифрование не выполняется.
Для отправки call-запроса на управляющий сервер троянец формирует строку следующего вида:
action=call&ip=123.123.123.123&pc_user=root&pc_name=PC&pc_group=WORKGROUP&pc_keyb=0&os_major=Microsoft Windows
XP&os_bit=x86&ransom_id=1111111111111111&hdd=C:FIXED_...&pub_key=...&priv_key=...&version=1.0
где:
action — тип запроса;
ip - внешний адрес инфицированного компьютера (если троянцу не удалось его получить, поле остается пустым);
pc_user — имя пользователя;
pc_name — имя компьютера;
pc_group — имя рабочей группы;
pc_keyb — код раскладки клавиатуры;
os_major — версия Windows (извлекается из ключа системного реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\productName);
os_bit — разрядность Windows;
ransom_id — идентификатор заражения;
hdd - информация о дисках;
pub_key — закодированный в base64 публичный ключ;
priv_key — закодированный в base64 приватный ключ;
version — внутренняя версия троянца.
Полученная строка шифруется с использованием алгоритма RC4, затем результат дополнительно кодируется с использованием base64. Полученные данные отсылаются на управляющий сервер POST-запросом вида %IP_ADDR%/curl.php?token=1234 (значение token извлекается из упакованного тела троянца). В ответ вредоносная программа получает закодированные с использованием base64 данные, зашифрованные тем же ключом RC4. В них может содержаться команда на самоудаление и список расширений для шифрования (тоже закодированный с помощью base64).
В настоящее время расшифровка файлов, зашифрованных этим троянцем, невозможна.
Рекомендации Dr.Web по лечению Trojan.Encoder.24384.
Windows
1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
3. Если работа операционной системы заблокирована вредоносной программой семейства Trojan.Winlock, воспользуйтесь сервисом разблокировки компьютера. Если подобрать код разблокировки не удалось, действуйте согласно инструкции, представленной в п.2.
OS X
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для OS X. Данный продукт можно загрузить с официального сайта Apple App Store.
Linux
На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.
Android
1.Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
2.Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
- загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
- после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
- выключите устройство и включите его в обычном режиме.
Материал подготовлен Компанией "Доктор Веб" (
www.drweb.com )
Обновленные возможности позволят компаниям контролировать каждый шаг обработки документации
На факультете вычислительной математики и кибернетики (ВМК) МГУ имени М.В. Ломоносова начала функционировать лаборатория свободного программного обеспечения, созданная при содействии компании «Базальт СПО». Студенты получают возможность реализовывать образовательные и научные проекты, связанные с созданием прикладного и кроссплатформенного программного обеспечения, а также заниматься сборкой образов операционных систем на основе платформы «Альт» для различных нужд.
Группа Arenadata проинформировала о выпуске обновлений для системы управления базами данных Arenadata QuickMarts (ADQM) и дополнительного модуля ADQM Control, которые теперь совместимы с российской операционной системой «Альт СП» (версия 10), разработанной компанией «Базальт СПО». Такое решение принято в рамках общей стратегии адаптации продуктовых предложений под требования современных заказчиков бизнеса.
Компания «Базальт СПО» презентовала свежую версию приложения WineHelper, предназначенную для удобной инсталляции и функционирования программ Windows в операционных системах серии «Альт». Среди нововведений — удобный графический интерфейс, поддержка альтернативных методов установки и скачивания приложений, а также встроенный инструмент для создания резервных копий установленных программ
Вышло обновление серверов Dr.Web Enterprise Security Suite и Dr.Web Industrial. Новая версия включает улучшения стабильности и новые инструменты централизованного управления действиями при обнаружении угроз на устройствах под управлением Android. Для получения всех преимуществ и корректной работы системы пользователям рекомендуется обновить серверы до актуальной версии
Компания «Доктор Веб» выявила опасный бэкдор Android.Backdoor.Baohuo.1.origin в модифицированных злоумышленниками версиях мессенджера Telegram X. Помимо возможности похищать конфиденциальные данные, включая логин и пароль пользователя, а также историю переписки, это ВПО обладает рядом уникальных особенностей. Например, чтобы предотвратить свое обнаружение и скрыть факт компрометации учетной записи, Android.Backdoor.Baohuo.1.origin умеет скрывать в списке активных сеансов Telegram подключения со сторонних устройств. Кроме того, он может добавлять и исключать пользователя из Telegram-каналов, вступать от его лица в чаты и выходить из них, также скрывая эти действия. Фактически с его помощью злоумышленники получают полный контроль над учетной записью жертвы и функциями мессенджера, а сам троян является инструментом для накрутки числа подписчиков в Telegram-каналах. Киберпреступники управляют бэкдором в том числе через базу данных Redis, что ранее не встречалось в Android-угрозах. По оценкам наших специалистов общее число устройств, зараженных Android.Backdoor.Baohuo.1.origin, превысило 58 000
С его помощью можно проверить, насколько ваш бизнес защищён от киберугроз и блокировок по 115-ФЗ
Антивирусная лаборатория «Доктор Веб» обнаружила семейство вредоносных программ Trojan.Scavenger, с помощью которых злоумышленники похищают конфиденциальные данные из криптокошельков и менеджеров паролей у пользователей ОС Windows
«Доктор Веб» сообщает о предстоящем обновлении песочницы Dr.Web vxCube. Изменения касаются обеих версий: облачной и локальной (on-premise).
Ваши контактные данные не публикуются на сайте.