Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Trojan.Encoder.12544: Anleitung für geschädigte Nutzer

Frankfurt, 28. Juni 2017

Trojan.Encoder.12544 verbreitet sich über die Lücke im Protokoll SMB v1 - MS17-010 (CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148) und das Exploit NSA "ETERNAL_BLUE". Dabei werden zur Verbreitung Ports 139 und 445 verwendet. Bei der Lücke geht es um den Typ Remote Code Execution, was die Infizierung des Rechners per Fernzugriff bedeutet.

  1. Um das Login im Betriebssystem wiederherzustellen, müssen Sie MBR wiederherstellen (u.a. mit Hilfe von Recovery Console von Windows oder des Tools bootrec.exe /FixMbr).

    Dafür können Sie auch Dr.Web LiveDisk verwenden. Erstellen Sie eine Boot-CD oder einen Boot-Datenträger und führen Sie das Booten von diesen Datenträgern durch. Starten Sie Dr.Web Scanner, führen Sie den Scan der beschädigten Festplatte aus und neutralisieren Sie die Bedrohungen, indem Sie die entsprechende Funktion auswählen.

  2. Trennen Sie Ihren PC vom lokalen Netzwerk und installieren Sie den Patch MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.

  3. Installieren Sie Dr.Web Antivirus, stellen Sie eine Internetverbindung her, aktualisieren Sie die Virendatenbanken und starten Sie einen Scan.

Testversion für Heimanwender Testversion für Geschäftsanwender

Der Trojaner ersetzt den Master Boot Record (MBR), erstellt und führt den Neustart-Task im Task-Planer aus. Danach ist der Neustart des Betriebssystems wegen des ersetzten Boot-Sektors der Festplatte nicht möglich. Anschließend wird die Verschlüsselung von Daten gestartet. Für jede Festplatte wird ein separater AES-Schlüssel erstellt. Dieser existiert im Speicher, bis die Verschlüsselung der Festplatte abgeschlossen wird. Für ihn wird ein Open-Source-Schlüssel RSA verwendet. Nachdem der MBR erfolgreich ersetzt und der Neustart des PCs durchgeführt wurde, wird die (Master File Table) MFT verschlüsselt, wo Daten zu Inhalten der Festplatte gespeichert sind. Um die Inhalte wiederherzustellen, braucht man einen Schlüssel, d.h. die verschlüsselten Daten können ohne Schlüssel nicht dekodiert werden.

Zum jetzigen Zeitpunkt ist die Dekodierung noch nicht möglich. Es wird nach Lösungen gesucht. Wir halten Sie auf dem Laufenden.

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2019

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Platz der Einheit 1. 60327 Frankfurt