Instrucción para víctimas de Trojan.Encoder.12544
28 de junio de 2017
El troyano Trojan.Encoder.12544 se propaga usando la vulnerabilidad en el protocolo SMB v1 - MS17-010 (CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148) con exploit NSA "ETERNAL_BLUE", usa los puertos TCP 139 y 445 TCP para propagación. Es vulnerabilidad de clase Remote code execution, que significa la posibilidad de infectar un equipo remoto.
Para recuperar la posibilidad de entrar en el sistema operativo, es necesario recuperar MBR (así mismo, usando los medios estándar de la consola de recuperación Windows, al iniciar la utilidad bootrec.exe /FixMbr).
Así mismo, para realizarlo, se puede usar Dr.Web LiveDisk — cree una unidad de arranque, arranque desde este dispositivo extraíble, inicie el escáner Dr.Web, escanee el disco afectado, Desinfecte lo encontrado.
Luego: desconecte el PC del LAN, inicie el sistema, instale el patch MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.
En los equipos con los SO Windows XP y Windows 2003 obsoletos, los patches de seguridad deben ser instalados manualmente, los enlaces directos a los mismos son:
- Windows XP SP3:
- download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
- Windows Server 2003 x86:
- download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
- Windows Server 2003 x64:
- download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
- Luego instale el antivirus Dr.Web, conecte Internet, actualice las bases antivirus, inicie el escaneo completo de control.
Download guidato per numero di serie Demo para el hogar Demo para el negocio
El troyano sustituye MBR (el registro de arranque principal de la unidad), crea, y luego ejecuta la tarea en el programador de tareas para reiniciar el sistema, y luego el inicio del SO ya no será posible por causa de sustitución del sector de arranque de la unidad. Una vez creada la tarea de reinicio, se inicia el proceso de cifrado de archivos. Para cada unidad, se genera su propia clave AES que existe en la memoria antes de finalizar el cifrado de la unidad. Se cifra en la clave pública RSA y se elimina. Una vez reiniciado, en caso de sustitución MBR correcta, también se cifra la tabla de archivos MFT donde se guarda la información sobre el contenido de la unidad. La recuperación del contenido, una vez finalizado, requiere la clave privada, no es posible recuperar los datos sin la clave privada.
Actualmente no se puede descifrar archivos, estamos realizando investigaciones y buscando soluciones, y le informaremos de resultados finales.
Valore
Comparta
![[VK]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Haga clic sobre "Me gusta"
![[facebook]](http://st.drweb.com/static/new-www/social/no_radius/facebook.png)
Nos importa su opinión
Para hacer una pregunta sobre la noticia para la administración del sitio web, indique al principio de su comentario @admin. Si su pregunta es para el autor de algún comentario - indique @ antes de escribir su nombre.
Otros comentarios