Интеллигентный торрент-трекер
canvas not supported
Нас вместе: 4 273 800

Инструкция пострадавшим от Trojan.Encoder.12544


 
 
RSS
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Компьютеры и комплектующие -> Комплексные вопросы
Автор Сообщение
XP1971 ®
Стаж: 7 лет 7 мес.
Сообщений: 331
Ratio: 383,474
Поблагодарили: 1596
100%
Откуда: местный
nnm-club.gif
Инструкция пострадавшим от Trojan.Encoder.12544

28 июня 2017 года

Троянец Trojan.Encoder.12544 распространяется с помощью уязвимости в протоколе SMB v1 - MS17-010 (CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148), которая была реализована через эксплойт NSA "ETERNAL_BLUE", использует 139 и 445 TCP-порты для распространения. Это уязвимость класса Remote code execution, что означает возможность заражения компьютера удалeнно.

Чтобы восстановить возможность входа в операционную систему, необходимо восстановить MBR (в том числе стандартными средствами консоли восстановления Windows, запуском утилиты bootrec.exe /FixMbr).

Также для этого можно использовать Dr.Web LiveDisk — создайте загрузочный диск или флешку, выполните загрузку с этого съемного устройства, запустите сканер Dr.Web, выполните проверку пострадавшего диска, найденное Обезвредить.
После этого: отключите ПК от ЛВС, выполните запуск системы, установите патч MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.

На компьютеры с устаревшими ОС Windows XP и Windows 2003 необходимо установить патчи безопасности вручную, скачав их по прямым ссылкам:

Windows XP SP3:

http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

Windows Server 2003 x86:

http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe

Windows Server 2003 x64:

http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe

Троянец заменяет MBR (главная загрузочная запись диска) и создает, а затем и выполняет задание в планировщике системы на перезагрузку системы, после которой загрузка ОС уже невозможна из-за подмены загрузочного сектора диска. Сразу после создания задания на перезагрузку запускается процесс шифрования файлов. Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования диска. Он шифруется на открытом ключе RSA и удаляется. После перезагрузки, при успешной подмене MBR, также шифруется главная файловая таблица MFT, в которой хранится информация о содержимом диска. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно.

В настоящий момент расшифровки файлов нет, ведется анализ и поиск решений.
«Доктор Веб».


Найден способ защитить компьютер от нового опасного вируса

Специалисты компании Symantec опубликовали в блоге компании в Twitter инструкцию, которая может помочь против заражения компьютера новым вирусом-вымогателем Petya, который начал распространения в минувший вторник, 27 июня.

По их словам, при инфицировании компьютера вредоносная программа ищет файл, расположенный по адресу C:\Windows\perfc. Если такой файл существует, вирус прекращает работу.

Чтобы защитить компьютер, пользователю необходимо вручную создать файл perfc (без расширения) в папке Windows на системном диске (C:). В некоторых случаях этого сделать не получится без прав администратора - тогда достаточно создать такой файл в любом другом месте диска, а затем скопировать его в папку Windows, подтвердив свое действие.

Кроме того, как утверждают в Microsoft, антивирусное ПО компании способно защитить пользователей от нового вируса. Пресс-секретарь Microsoft в России Кристина Давыдова рассказала "РИА Новости", что вымогатель использует несколько способов распространения, включая тот, который использовал нашумевший в мае вирус WannaCry.

Стоит отметить, что операционная Windows 10 со всеми установленными обновлениями не подвержена заражению.

Вирус-вымогатель Petya атаковал несколько десятков тысяч компьютеров по всему миру, включая Россию, Украину и другие страны. Многие атакованные машины установлены в крупных компаниях и государственных организациях.

_________________
Kalex
Администратор
Стаж: 10 лет 2 мес.
Сообщений: 25764
Ratio: 38,224
Поблагодарили: 12905
100%
nnm-club.gif
XP1971 писал(а): Перейти к сообщению
Инструкция пострадавшим
XP1971 писал(а): Перейти к сообщению
В настоящий момент расшифровки файлов нет, ведется анализ и поиск решений.
Не вводите заголовком в заблуждение и без того настрадавшихся.

_________________
NNMClub и IPv6/Teredo
... если преступников недостаточно, их надо создавать. Кому нужна нация, состоящая сплошь из законопослушных граждан? Какая от нее польза? А вот издайте законы, которые нельзя ни соблюдать, ни проводить в жизнь, ни объективно трактовать, и вы получите нацию нарушителей, а значит, сможете заработать на преступлениях... /Айн Рэнд, «Атлант расправил плечи»/
XP1971 ®
Стаж: 7 лет 7 мес.
Сообщений: 331
Ratio: 383,474
Поблагодарили: 1596
100%
Откуда: местный
nnm-club.gif
Kalex
название оригинальное, внизу ссылка на оригинальный текст

_________________
Dimmm2001
Стаж: 7 лет 8 мес.
Сообщений: 681
Ratio: 26,514
Раздал: 638 GB
Поблагодарили: 1
2.82%
Откуда: Алма-Ата
kazakhstan.gif
у меня кстати этот патч выбивает. неустранимая ошибка и всё..
varni​sh200​0​
Стаж: 9 мес. 12 дней
Сообщений: 174
Ratio: 1,749
3.7%
:(
Показать сообщения:   
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Компьютеры и комплектующие -> Комплексные вопросы Часовой пояс: GMT + 3
Страница 1 из 1