Местоположение: Москва, 3-я улица Ямского поля, вл. 2, корп. 12А Посмотреть на карте
Информация о Trojan.Encoder.24384 (из Вирусной базы Доктор Веб)
Добавлен в вирусную базу Dr.Web: 2018-01-27
Описание добавлено: 2018-02-01
Версия 1.0
SHA1: b185665ded0fab4bb2588ec80f71333533d8e140
Версия 1.1
SHA1: 2245bd90b753b7fd29b7218a0ef50435c64f8767
Троянец-шифровальщик для операционных систем семейства Microsoft Windows. Самоназвание — «GandCrab!». Сообщение с требованиями вымогателей и список расширений шифруемых файлов хранятся в теле троянца зашифрованными с использованием алгоритма XOR.
Вредоносная программа может собирать информацию о наличии следующих работающих процессов антивирусов:
AVP.EXE
ekrn.exe
avgnt.exe
ashDisp.exe
NortonAntiBot.exe
Mcshield.exe
avengine.exe
cmdagent.exe
smc.exe
persfw.exe
pccpfw.exe
fsguiexe.exe
cfp.exe
msmpeng.exe
С целью предотвращения повторного запуска троянец получает имя рабочей группы в локальной сети, серийный номер тома на жестком диске и наименование модели процессора. На основании этих данных он формирует имя мьютекса. Если мьютекс с таким именем уже существует, троянец завершает работу. После этого он принудительно завершает следующие процессы:
sqlservr.exe
msftesql.exe
sqlagent.exe
sqlbrowser.exe
sqlwriter.exe
oracle.exe
ocssd.exe
dbsnmp.exe
synctime.exe
mydesktopqos.exe
agntsvc.exeisqlplussvc.exe
xfssvccon.exe
mydesktopservice.exe
ocautoupds.exe
agntsvc.exeagntsvc.exe
agntsvc.exeencsvc.exe
firefoxconfig.exe
tbirdconfig.exe
ocomm.exe
mysqld.exe
mysqld-nt.exe
mysqld-opt.exe
dbeng50.exe
sqbcoreservice.exe
excel.exe
infopath.exe
msaccess.exe
mspub.exe
onenote.exe
outlook.exe
powerpnt.exe
steam.exe
thebat.exe
thebat64.exe
thunderbird.exe
visio.exe
winword.exe
wordpad.exe
После завершения процессов троянец формирует текст сообщения с требованиями злоумышленников и создает ключевую пару RSA-2048. Затем он отсылает call-запрос на свой управляющий сервер, обнуляет в памяти приватный ключ и начинает процесс собственной установки в систему.
Если троянец запущен не из папки %APPDATA%, он создает собственную копию со случайным именем в папке %APPDATA%\Microsoft\. Путь к этому файлу сохраняется в ветви системного реестра [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] со случайным именем параметра.
Троянец шифрует содержимое фиксированных, съемных и сетевых дисков. Каждый диск шифруется в отдельном потоке. После окончания шифрования троянец отправляет на сервер данные о количестве зашифрованных файлов и времени, потраченном на шифрование. Не подвергаются шифрованию следующие папки:
ProgramData
Program Files
Tor Browser
Ransomware
All Users
Local Settings
%PROGRAM_FILESX86%
%PROGRAM_FILES_COMMON%
%WINDOWS%
%LOCAL_APPDATA%
Необходимые для шифрования данные генерируются для каждого файла, затем они шифруются публичным RSA-ключом. Зашифрованные файлы получают расширение *.GDCB.
Троянец использует управляющий сервер, доменное имя которого не разрешается стандартными способами. Для получения IP-адреса управляющего сервера энкодер выполняет команду nslookup и получает адрес из ее вывода. Если IP-адрес получить не удается, шифрование не выполняется.
Для отправки call-запроса на управляющий сервер троянец формирует строку следующего вида:
action=call&ip=123.123.123.123&pc_user=root&pc_name=PC&pc_group=WORKGROUP&pc_keyb=0&os_major=Microsoft Windows
XP&os_bit=x86&ransom_id=1111111111111111&hdd=C:FIXED_...&pub_key=...&priv_key=...&version=1.0
где:
action — тип запроса;
ip - внешний адрес инфицированного компьютера (если троянцу не удалось его получить, поле остается пустым);
pc_user — имя пользователя;
pc_name — имя компьютера;
pc_group — имя рабочей группы;
pc_keyb — код раскладки клавиатуры;
os_major — версия Windows (извлекается из ключа системного реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\productName);
os_bit — разрядность Windows;
ransom_id — идентификатор заражения;
hdd - информация о дисках;
pub_key — закодированный в base64 публичный ключ;
priv_key — закодированный в base64 приватный ключ;
version — внутренняя версия троянца.
Полученная строка шифруется с использованием алгоритма RC4, затем результат дополнительно кодируется с использованием base64. Полученные данные отсылаются на управляющий сервер POST-запросом вида %IP_ADDR%/curl.php?token=1234 (значение token извлекается из упакованного тела троянца). В ответ вредоносная программа получает закодированные с использованием base64 данные, зашифрованные тем же ключом RC4. В них может содержаться команда на самоудаление и список расширений для шифрования (тоже закодированный с помощью base64).
В настоящее время расшифровка файлов, зашифрованных этим троянцем, невозможна.
Рекомендации Dr.Web по лечению Trojan.Encoder.24384.
Windows
1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
3. Если работа операционной системы заблокирована вредоносной программой семейства Trojan.Winlock, воспользуйтесь сервисом разблокировки компьютера. Если подобрать код разблокировки не удалось, действуйте согласно инструкции, представленной в п.2.
OS X
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для OS X. Данный продукт можно загрузить с официального сайта Apple App Store.
Linux
На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.
Android
1.Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
2.Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
- загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
- после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
- выключите устройство и включите его в обычном режиме.
Материал подготовлен Компанией "Доктор Веб" (
www.drweb.com )
Среди основных обновлений – изменения службы уведомлений, Telegram-бота, VPN, Xauth, а также отказ от службы «Веб-фильтр SkyDNS» и соответствующих категорий и стандартного набора правил
«МойОфис» и «СёрчИнформ» подтвердили совместимость своих продуктов: решения для совместной работы и хранения документов «МойОфис Документы Онлайн» и DLP-системы для защиты от утечек информации «СёрчИнформ КИБ»
«Группа Астра» объявляет о выходе службы каталога ALD Pro 2.5.0. Этот релиз содержит несколько десятков дополнений и улучшений, благодаря которым продукт стал еще более безопасным, надежным, производительным и удобным в использовании
Компания «Киберпротект» представила обновление Кибер Протего. Начиная с версии 10.5, в российской DLP-системе существенно расширены возможности для Linux-инфраструктур, добавлены новые контролируемые каналы передачи данных, функции контроля рабочего времени
Версия 1.9.14 является развитием редакции 1.9 «1С:Библиотека электронных документов 8», которая предназначена для обеспечения обмена электронными документами в прикладных решениях, разработанных на платформе «1С:Предприятие» версии 8.3.24.1548 и выше
Решение для интеллектуального корпоративного поиска Content AI Intelligent Search, cерверное решение для распознавания и конвертации документов ContentReader® Server и многофункциональный OCR SDK для разработчиков ContentReader® Engine получили официальный статус продуктов с признаками искусственного интеллекта. Это подтвердила экспертиза, проводимая специалистами Минцифры РФ
ФСТЭК России сертифицировал Dr.Web Industrial для защиты серверов и рабочих станций в промышленных системах управления.
Deckhouse Kubernetes Platform (DKP) от компании «Флант» достигла значимого показателя – к началу 2025 года количество кластеров под управлением платформы превысило 1000, охватывая широкий спектр отраслей: ретейл, промышленность, банкинг, финтех, сырьевые компании, госструктуры, ИТ, медицину, образование, логистику и СМИ. Большой проектный опыт позволил разработчику занять лидирующие позиции по контрибуциям в Kubernetes среди российских компаний и стать отраслевым технологическим стандартом.
Его появление в портфолио продуктов компании обусловлено мировым трендом на развитие платформ по защите облачных рабочих нагрузок
Ваши контактные данные не публикуются на сайте.