Защити созданное

Другие наши ресурсы

  • free.drweb.kz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.kz — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.Encoder.4393

Добавлен в вирусную базу Dr.Web: 2016-04-20

Описание добавлено:

SHA1

  • 1125617489218734be30513fc5d822cfe0f865cf – версия 1.000, упакованный
  • 89091aa0258c7e535b6edf348370f66049e84201– версия 1.000, распакованный
  • 82d9018f15c1940970ebbae75bea5f403f81300e – версия 1.001, упакованный
  • e3af0112019792f98c803ea1e7684ce2fa365dd5 – версия 1.001, распакованный
  • 45d699855bea5d7b02c3de5a7fb95a939a52dd0e – версия 2.000, упакованный
  • df665809dae34d432ef43af7fad19a83463b3853 – версия 2.000, распакованный
  • 8f76eb19362a423dde272e7fffdc35cb45cd0401 – версия 2.005, упакованный
  • 5251e88ecf8c6d1ea228ff381af83ec4df41f1aa – версия 2.005, распакованный
  • d7ee6eb9d5390b9afbfc50f958dd95f7bb122c1a – версия 2.006, упакованный
  • e4d14bed6861f304127316aa1035c5207553c14f – версия 2.006, распакованный
  • a1a0ba3b038113bb9a2c711cdbfb53bc34b519cf – версия 2.007, упакованный
  • 4618eeb1be392b844183a85e6d000721cd364d49– версия 2.007, распакованный
  • 04f6f74443e44c32048b3b1522748a5f981ac7ed – версия 3.000, упакованный
  • 4205daa502d8e73af4ee14e838513131c1e3de2d – версия 3.000, распакованный
  • 1a3532f0bcda543085da49c74c5db4d56532dc67– версия 3.002, упакованный
  • bce18acb9b06f4f676cbdf6445aee1cb5325c3de - версия 3.002, распакованный
  • a3097c3685bc0ab9e07774072d0ae3474a897dcb - версия 3.100, упакованный
  • b4c459e986a099d691f970228ddbe2cba13e6cbb - версия 3.100, распакованный

Троянец-шифровальщик для ОС Microsoft Windows, также известный под именем CryptXXX. Написан на языке Delphi, зашифрованные файлы получают расширение *.crypt (в версии 3.100 расширение было изменено на *.cryp1), а файлы с требованиями вымогателей имеют имена de_crypt_readme.txt, de_crypt_readme.html и de_crypt_readme.png. Для связи с управляющими серверами используется порт 443, который обычно задействуется при соединении с помощью HTTPS, однако Trojan.Encoder.4393 использует собственный протокол. Троянец насчитывает несколько версий, файлы, зашифрованные некоторыми из них, поддаются расшифровке.

Энкодер представляет собой динамическую библиотеку с несколькими экспортами. При загрузке библиотеки вызывается функция DllMain, которая распаковывает полезную нагрузку, также выполненную в виде библиотеки DLL. После распаковки осуществляется проверка, из какого процесса был запущен троянец. Если имя исходного процесса отличается от Rundll32, троянец запускает себя через Rundll32 с именем процедуры Working. Если первоначально троянец был запущен из процесса Rundll32, он перезагружает свою библиотеку с точкой входа в AccessToken. Контроль повторного запуска троянец осуществляет с помощью специального файла, создаваемого в папке %CommonAppData%.

Троянцы версии 1.000, 1.001, 2.000 осуществляют шифрование с использованием алгоритма RC4, ключ вредоносная программа получает с управляющего сервера. Остальные версии используют сочетание RC4 и RSA. Для получения уникального идентификатора зараженной машины троянец извлекает значения следующих ветвей системного реестра:

  [HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\0\\Identifier]
  [HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\0\\ProcessorNameString]
  [HARDWARE\\DESCRIPTION\\System\\BIOS\\BIOSVendor]
  [HARDWARE\\DESCRIPTION\\System\\Identifier]

Полученные данные совмещаются с серийным номером жесткого диска и шифруются с помощью алгоритма MD5.

Троянец версии 2.006 имеет несколько отличий от своих предшественников. Например, он завершает свою работу, если обнаруживает на инфицированном компьютере процессы с именами AVP.EXE или EGUI.EXE. Если троянец запущен не процессом svchost.exe, он копирует в собственную папку файл rundll32.exe с именем svchost.exe и запускает себя через эту копию, после чего исходный файл завершает работу. Если троянец запущен из процесса svchost.exe, он осуществляет проверку на повторное заражение, проверяя наличие файла %CommonAppData%\Z. Если такой файл существует, троянец прекращает свою работу, если отсутствует — вредоносная программа создает его. Также в этой версии энкодера был значительно изменен алгоритм генерации ID инфицированного компьютера.

Новость о троянце

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке