Frankfurt, 28. Juni 2017
Trojan.Encoder.12544 verbreitet sich über die Lücke im Protokoll SMB v1 - MS17-010 (CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148) und das Exploit NSA "ETERNAL_BLUE". Dabei werden zur Verbreitung Ports 139 und 445 verwendet. Bei der Lücke geht es um den Typ Remote Code Execution, was die Infizierung des Rechners per Fernzugriff bedeutet.
Um das Login im Betriebssystem wiederherzustellen, müssen Sie MBR wiederherstellen (u.a. mit Hilfe von Recovery Console von Windows oder des Tools bootrec.exe /FixMbr).
Dafür können Sie auch Dr.Web LiveDisk verwenden. Erstellen Sie eine Boot-CD oder einen Boot-Datenträger und führen Sie das Booten von diesen Datenträgern durch. Starten Sie Dr.Web Scanner, führen Sie den Scan der beschädigten Festplatte aus und neutralisieren Sie die Bedrohungen, indem Sie die entsprechende Funktion auswählen.
Trennen Sie Ihren PC vom lokalen Netzwerk und installieren Sie den Patch MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.
Auf Rechnern unter Windows XP und Windows 2003 müssen Sicherheits-Patches manuell installiert werden. Diese finden Sie unter den folgenden Links:
- Windows XP SP3:
- download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
- Windows Server 2003 x86:
- download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
- Windows Server 2003 x64:
- download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
- Installieren Sie Dr.Web Antivirus, stellen Sie eine Internetverbindung her, aktualisieren Sie die Virendatenbanken und starten Sie einen Scan.
Testversion für Heimanwender Testversion für Geschäftsanwender
Der Trojaner ersetzt den Master Boot Record (MBR), erstellt und führt den Neustart-Task im Task-Planer aus. Danach ist der Neustart des Betriebssystems wegen des ersetzten Boot-Sektors der Festplatte nicht möglich. Anschließend wird die Verschlüsselung von Daten gestartet. Für jede Festplatte wird ein separater AES-Schlüssel erstellt. Dieser existiert im Speicher, bis die Verschlüsselung der Festplatte abgeschlossen wird. Für ihn wird ein Open-Source-Schlüssel RSA verwendet. Nachdem der MBR erfolgreich ersetzt und der Neustart des PCs durchgeführt wurde, wird die (Master File Table) MFT verschlüsselt, wo Daten zu Inhalten der Festplatte gespeichert sind. Um die Inhalte wiederherzustellen, braucht man einen Schlüssel, d.h. die verschlüsselten Daten können ohne Schlüssel nicht dekodiert werden.
Zum jetzigen Zeitpunkt ist die Dekodierung noch nicht möglich. Es wird nach Lösungen gesucht. Wir halten Sie auf dem Laufenden.
Ihre Meinung ist uns wichtig!
Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.
Andere Kommentare