Защити созданное

Другие наши ресурсы

Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

Форум | Бот самоподдержки Telegram

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype Telegram

Свяжитесь с нами

Профиль

Профиль

Trojan.Encoder.6491

Добавлен в вирусную базу Dr.Web:2016-10-10
Описание добавлено:2016-10-11

SHA1:

  • 3218c04576b08ed65530086a41659b51902fce51

Троянец-шифровальщик, написанный на языке Go. При запуске выполняет следующие действия:

  1. определяет имя собственного файла и проверяет его на соответствие значению «Windows_Security.exe». При совпадении переходит к пункту 6;
  2. удаляет папку %APPDATA%\Windows_Update;
  3. создает папку %APPDATA%\Windows_Update;
  4. создает собственную копию в папке %APPDATA%\Windows_Update с именем Windows_Security.exe;
  5. удаляет оригинальный исполняемый файл и запускает файл %APPDATA%\Windows_Update\Windows_Security.exe, после чего исходный процесс завершается;
  6. если папка, из которой запущен троянец, имеет имя, отличное от Windows_Update, выполняет выход из функции установки;
  7. выполняет команду:
    REG ADD HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V Windows-Defender /t REG_SZ /F /D %APPDATA%\Windows_Update\Windows_Security.exe
  8. выполняет следующие команды (строки закодированы методом Base64):
    attrib +H +S %APPDATA%\\Windows_Update\\
    attrib +H +S %APPDATA%\\Windows_Update\\Windows_Security.exe
     
  9. создает свою копию во временной папке под именем %TEMP%\\Windows_Security.exe и завершает выполнение.

Шифрование выполняет процесс троянца, запущенный из папки %TEMP%. Перед выходом из функции установки выполняется еще одна функция:

.text:00000000004021E0 main_BypassAV   proc near               ; CODE XREF: main_Install:loc_401F02p
.text:00000000004021E0                                         ; main_BypassAV+38j
.text:00000000004021E0                 mov     rcx, gs:28h
.text:00000000004021E9                 mov     rcx, [rcx+0]
.text:00000000004021F0                 cmp     rsp, [rcx+10h]
.text:00000000004021F4                 jbe     short loc_402213
.text:00000000004021F6                 call    main_LongLoop
.text:00000000004021FB                 mov     rax, cs:some_counter
.text:0000000000402202                 add     rax, 0Bh
.text:0000000000402206                 mov     cs:some_counter, rax
.text:000000000040220D                 call    main_CheckDebugger <- вызывает isDebuggerPresent
.text:0000000000402212                 retn
.text:0000000000402213 ; ---------------------------------------------------------------------------
.text:0000000000402213
.text:0000000000402213 loc_402213:                             ; CODE XREF: main_BypassAV+14j
.text:0000000000402213                 call    runtime_morestack_noctxt
.text:0000000000402218                 jmp     short main_BypassAV
.text:0000000000402218 main_BypassAV   endp

После завершения установки выполняется следующая команда:

"vssadmin.exe Delete Shadows /All /Quiet"
Затем троянец запрашивает следующие значения:
HKLM\Software\\Policis\\done
HKCU\Software\\Policis\\done

Если хотя бы один из этих параметров имеет значение True, шифрование не выполняется. Затем троянец формирует ключ шифрования и начинает шифрование файлов:

.text:0000000000402403 loc_402403:                             ; CODE XREF: main_main+17Bj
.text:0000000000402403                 mov     byte ptr [rsp], 1
.text:0000000000402407                 call    main_EncryptExternalDrives
.text:000000000040240C                 lea     rax, aC         ; "C:\\"
.text:0000000000402413                 mov     [rsp], rax
.text:0000000000402417                 mov     qword ptr [rsp+8], 3
.text:0000000000402420                 mov     byte ptr [rsp+10h], 1
.text:0000000000402425                 call    main_EncryptDocumets
.text:000000000040242A                 call    main_WriteRegDone
.text:000000000040242F                 call    main_PromtPay
.text:0000000000402434                 call    main_ListenForPayment
.text:0000000000402439                 mov     rbp, [rsp+78h]
.text:000000000040243E                 add     rsp, 80h
.text:0000000000402445                 retn

Функция main_WriteRegDone записывает в системный реестр значения, полученные после проверки ключей реестра HKLM\Software\\Policis\\done и HKCU\Software\\Policis\\done.

Функция EncryptDocumets имеет следующий вид:

.text:0000000000401040 main_EncryptDocumets proc near          ; CODE XREF: main_EncryptDocumets+86j
.text:0000000000401040                                         ; main_main+145p ...
.text:0000000000401040
.text:0000000000401040 var_30          = qword ptr -30h
.text:0000000000401040 var_28          = qword ptr -28h
.text:0000000000401040 var_20          = qword ptr -20h
.text:0000000000401040 var_8           = qword ptr -8
.text:0000000000401040 arg_0           = qword ptr  8
.text:0000000000401040 arg_8           = qword ptr  10h
.text:0000000000401040 arg_10          = byte ptr  18h
.text:0000000000401040
.text:0000000000401040                 mov     rcx, gs:28h
.text:0000000000401049                 mov     rcx, [rcx+0]
.text:0000000000401050                 cmp     rsp, [rcx+10h]
.text:0000000000401054                 jbe     short loc_4010C1
.text:0000000000401056                 sub     rsp, 30h
.text:000000000040105A                 mov     [rsp+30h+var_8], rbp
.text:000000000040105F                 lea     rbp, [rsp+30h+var_8]
.text:0000000000401064                 movzx   eax, [rsp+30h+arg_10]
.text:0000000000401069                 test    al, al
.text:000000000040106B                 jz      short loc_40109B
.text:000000000040106D                 mov     rax, [rsp+30h+arg_0]
.text:0000000000401072                 mov     [rsp], rax
.text:0000000000401076                 mov     rax, [rsp+30h+arg_8]
.text:000000000040107B                 mov     [rsp+8], rax
.text:0000000000401080                 lea     rax, encrypt
.text:0000000000401087                 mov     [rsp+10h], rax
.text:000000000040108C                 call    path_filepath_Walk
.text:0000000000401091
.text:0000000000401091 loc_401091:                             ; CODE XREF: main_EncryptDocumets+7Fj
.text:0000000000401091                 mov     rbp, [rsp+30h+var_8]
.text:0000000000401096                 add     rsp, 30h
.text:000000000040109A                 retn
.text:000000000040109B ; ---------------------------------------------------------------------------
.text:000000000040109B
.text:000000000040109B loc_40109B:                             ; CODE XREF: main_EncryptDocumets+2Bj
.text:000000000040109B                 mov     rax, [rsp+30h+arg_0]
.text:00000000004010A0                 mov     [rsp], rax
.text:00000000004010A4                 mov     rax, [rsp+30h+arg_8]
.text:00000000004010A9                 mov     [rsp+8], rax
.text:00000000004010AE                 lea     rax, decrypt
.text:00000000004010B5                 mov     [rsp+10h], rax
.text:00000000004010BA                 call    path_filepath_Walk
.text:00000000004010BF                 jmp     short loc_401091
.text:00000000004010C1 ; ---------------------------------------------------------------------------
.text:00000000004010C1
.text:00000000004010C1 loc_4010C1:                             ; CODE XREF: main_EncryptDocumets+14j
.text:00000000004010C1                 call    runtime_morestack_noctxt
.text:00000000004010C6                 jmp     main_EncryptDocumets

Аргумент arg10 указывает направление работы функции: шифрование или расшифровка файлов.

Стандартная функция Go с именем path_filepath_Walk вызывает обработчик для каждого файла:

.text:0000000000684058 decrypt         dq offset main_VisitD   ; DATA XREF: main_EncryptDocumets+6Eo
.text:0000000000684060 encrypt         dq offset main_Visit    ; DATA XREF: main_EncryptDocumets+40

Функция main_Visit проверяет в имени файла наличие следующих строк:

tmp
winnt
Application Data
AppData
Program Files (x86)
Program Files
temp
thumbs.db
Recycle.Bin
System Volume Information
Boot
Windows
.enc
Instructions
Windows_Security.exe

В случае их обнаружения шифрование не выполняется. Троянец шифрует файлы 140 различных типов, определяя их по расширению. Вредоносная программа кодирует оригинальные имена файлов методом Base64, а затем присваивает зашифрованным файлам расширение .enc.

После этого троянец сохраняет файл с требованиями злоумышленников под именем %USERPROFILE%\\Desktop\\Instructions.html и открывает этот файл в окне браузера. Выполняет следующую команду:

msg * All your files have been encrypted, read the note in your Desktop

Функция main_ListenForPayment проверяет баланс кошелька в системе Bitcoin, для чего запрашивает веб-страницу:

http://btc.blockr.io/api/v1/address/info/1Bww**************Yph9SxP

Пример получаемого троянцем ответа:

{"status":"success","data":{"address":"1Bww**************Yph9SxP ","is_unknown":true,"balance":0,"balance_multisig":0,"totalreceived":0,"nb_txs":0,"first_tx":null,"last_tx":null,"is_valid":true},"code":200,"message":""}

Полученный ответ в формате Json сохраняется в специальную структуру. Запросы повторяются с заданным временным интервалом. При изменении баланса энкодер автоматически расшифровывает все зашифрованные ранее файлы с использованием встроенной функции.

Файлы, поврежденные этим троянцем, поддаются расшифровке.

Новость о троянце

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2018

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А