28 czerwca 2017

Trojan.Encoder.12544 rozpowszechnia się wykorzystując podatność SMB v1 - MS17-010 (CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148), która może być wykorzystana z użyciem exploita NSA "ETERNAL_BLUE". Do rozpowszechniania trojana używane są porty TCP 139 i 445. Ta podatność “zdalnego wykonywania kodu” zezwala agresorom na zdalne infekowanie zaatakowanych komputerów.

1. Aby odzyskać dostęp do Windows, musisz przywrócić główny rekord rozruchowy - MBR (możesz użyć standardowej procedury w Konsoli Przywracania i uruchomić bootrec.exe /FixMbr).

   Możesz też przywrócić rekord rozruchowy używając Dr.Web LiveDisk — stwórz startową płytę CD lub napęd USB, uruchom system z tego nośnika, uruchom skaner Dr.Web, sprawdź zaatakowany dysk twardy pod kątem wirusów i wybierz Wylecz dla wszystkich zainfekowanych plików.

2. Następnie odłącz swój PC od sieci, uruchom go i zastosuj poprawkę MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.

   Dla komputerów pracujących pod kontrolą przestarzałych wersji Windows XP i Windows 2003, musisz zainstalować aktualizacje bezpieczeństwa w sposób ręczny. Mogą być one pobrane z następujących źródeł:

   Windows XP SP3:

   download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

   Windows Server 2003 x86:

   download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe

   Windows Server 2003 x64:

   download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe

3. Następnie zainstaluj Dr.Web, zestaw połączenie z Internetem, zaktualizuj bazy wirusów i uruchom pełne skanowanie systemu.

Wersja próbna dla użytkowników domowych Wersja próbna dla firm

Trojan podmienia główny sektor rozruchowy – MBR (Master Boot Record) i planuje oraz wykonuje zadanie ponownego uruchomienia systemu. Po takiej operacji system operacyjny nie uruchomi się, ponieważ główny sektor rozruchowy został zaatakowany i zmieniony. Dane będą szyfrowane jak tylko ponowne uruchomienie systemu zostanie zaplanowane i wykonane. Dla każdego dysku generowany jest oddzielny klucz AES. Klucz pozostaje w pamięci tak długo, zanim dysk nie zostanie w całości zaszyfrowany. Jest on zaszyfrowany z użyciem publicznego klucza RSA, a następnie jest usuwany. Jeśli MBR zostanie podmieniony z powodzeniem, z chwilą restartu systemu szyfrowany jest też plik MFT. Plik ten zawiera informacje o wszystkich plikach na dysku NTFS. Gdy wszystkie te procedury zostaną zakończone, dane mogą być odzyskane wyłącznie przy użyciu klucza prywatnego. Tym samym, bez tego klucza żaden plik nie będzie odzyskany.

Na chwilę obecną odszyfrowanie plików nie jest możliwe. Nasi analitycy badają problem i poszukują rozwiązania. Poinformujemy Was o tym z chwilą, gdy ostateczne ustalenia będą już znane.