Protege lo creado

Otros recursos

  • free.drweb-av.es — utilidades gratuitas, complementos, informadores
  • av-desk.com — un servicio en Internet para los proveedores de servicios Dr.Web AV-Desk
  • curenet.drweb.com — utilidad de desinfección de red Dr.Web CureNet!
Cerrar

Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas | Normas de contactar

Sus solicitudes

Perfil

Volver a las noticias

Instrucción para víctimas de Trojan.Encoder.12544

28 de junio de 2017

El troyano Trojan.Encoder.12544 se propaga usando la vulnerabilidad en el protocolo SMB v1 - MS17-010 (CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148) con exploit NSA "ETERNAL_BLUE", usa los puertos TCP 139 y 445 TCP para propagación. Es vulnerabilidad de clase Remote code execution, que significa la posibilidad de infectar un equipo remoto.

  1. Para recuperar la posibilidad de entrar en el sistema operativo, es necesario recuperar MBR (así mismo, usando los medios estándar de la consola de recuperación Windows, al iniciar la utilidad bootrec.exe /FixMbr).

    Así mismo, para realizarlo, se puede usar Dr.Web LiveDisk — cree una unidad de arranque, arranque desde este dispositivo extraíble, inicie el escáner Dr.Web, escanee el disco afectado, Desinfecte lo encontrado.

  2. Luego: desconecte el PC del LAN, inicie el sistema, instale el patch MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.

  3. Luego instale el antivirus Dr.Web, conecte Internet, actualice las bases antivirus, inicie el escaneo completo de control.

Download guidato per numero di serie Demo para el hogar Demo para el negocio

El troyano sustituye MBR (el registro de arranque principal de la unidad), crea, y luego ejecuta la tarea en el programador de tareas para reiniciar el sistema, y luego el inicio del SO ya no será posible por causa de sustitución del sector de arranque de la unidad. Una vez creada la tarea de reinicio, se inicia el proceso de cifrado de archivos. Para cada unidad, se genera su propia clave AES que existe en la memoria antes de finalizar el cifrado de la unidad. Se cifra en la clave pública RSA y se elimina. Una vez reiniciado, en caso de sustitución MBR correcta, también se cifra la tabla de archivos MFT donde se guarda la información sobre el contenido de la unidad. La recuperación del contenido, una vez finalizado, requiere la clave privada, no es posible recuperar los datos sin la clave privada.

Actualmente no se puede descifrar archivos, estamos realizando investigaciones y buscando soluciones, y le informaremos de resultados finales.

Nos importa su opinión

Por cada comentario se abona 1 punto Dr.Web. Para hacer una pregunta sobre la noticia para la administración del sitio web, indique al principio de su comentario @admin. Si su pregunta es para el autor de algún comentario - indique @ antes de escribir su nombre.


Otros comentarios

Desarrollador ruso de antivirus Dr.Web

Experiencia de desarrollo a partir del año 1992

Dr.Web se usa en más de 200 países del mundo

Entrega de antivirus como servicio a partir del año 2007

Soporte 24 horas

© Doctor Web
2003 — 2020

Doctor Web es un productor ruso de los medios antivirus de protección de la información bajo la marca Dr.Web. Los productos Dr. Web se desarrollan a partir del año 1992.

125040, Rusia, Moscú, c/3 Yamskogo Polya, 2, edif.12А