Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

+ Добавить в библиотеку

Моя библиотека

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами

Профиль

Профиль

Trojan.Encoder.24384

Добавлен в вирусную базу Dr.Web:2018-01-27
Описание добавлено:2018-02-01

Версия 1.0

SHA1: b185665ded0fab4bb2588ec80f71333533d8e140

Версия 1.1

SHA1: 2245bd90b753b7fd29b7218a0ef50435c64f8767

Троянец-шифровальщик для операционных систем семейства Microsoft Windows. Самоназвание — «GandCrab!». Сообщение с требованиями вымогателей и список расширений шифруемых файлов хранятся в теле троянца зашифрованными с использованием алгоритма XOR.

Вредоносная программа может собирать информацию о наличии следующих работающих процессов антивирусов:

AVP.EXE
ekrn.exe
avgnt.exe
ashDisp.exe
NortonAntiBot.exe
Mcshield.exe
avengine.exe
cmdagent.exe
smc.exe
persfw.exe
pccpfw.exe
fsguiexe.exe
cfp.exe
msmpeng.exe

С целью предотвращения повторного запуска троянец получает имя рабочей группы в локальной сети, серийный номер тома на жестком диске и наименование модели процессора. На основании этих данных он формирует имя мьютекса. Если мьютекс с таким именем уже существует, троянец завершает работу. После этого он принудительно завершает следующие процессы:

sqlservr.exe
msftesql.exe
sqlagent.exe
sqlbrowser.exe
sqlwriter.exe
oracle.exe
ocssd.exe
dbsnmp.exe
synctime.exe
mydesktopqos.exe
agntsvc.exeisqlplussvc.exe
xfssvccon.exe
mydesktopservice.exe
ocautoupds.exe
agntsvc.exeagntsvc.exe
agntsvc.exeencsvc.exe
firefoxconfig.exe
tbirdconfig.exe
ocomm.exe
mysqld.exe
mysqld-nt.exe
mysqld-opt.exe
dbeng50.exe
sqbcoreservice.exe
excel.exe
infopath.exe
msaccess.exe
mspub.exe
onenote.exe
outlook.exe
powerpnt.exe
steam.exe
thebat.exe
thebat64.exe
thunderbird.exe
visio.exe
winword.exe
wordpad.exe

После завершения процессов троянец формирует текст сообщения с требованиями злоумышленников и создает ключевую пару RSA-2048. Затем он отсылает call-запрос на свой управляющий сервер, обнуляет в памяти приватный ключ и начинает процесс собственной установки в систему.

Если троянец запущен не из папки %APPDATA%, он создает собственную копию со случайным именем в папке %APPDATA%\Microsoft\. Путь к этому файлу сохраняется в ветви системного реестра [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] со случайным именем параметра.

Троянец шифрует содержимое фиксированных, съемных и сетевых дисков. Каждый диск шифруется в отдельном потоке. После окончания шифрования троянец отправляет на сервер данные о количестве зашифрованных файлов и времени, потраченном на шифрование. Не подвергаются шифрованию следующие папки:

ProgramData
Program Files
Tor Browser
Ransomware
All Users
Local Settings
%PROGRAM_FILESX86%
%PROGRAM_FILES_COMMON%
%WINDOWS%
%LOCAL_APPDATA%

Необходимые для шифрования данные генерируются для каждого файла, затем они шифруются публичным RSA-ключом. Зашифрованные файлы получают расширение *.GDCB.

Троянец использует управляющий сервер, доменное имя которого не разрешается стандартными способами. Для получения IP-адреса управляющего сервера энкодер выполняет команду nslookup и получает адрес из ее вывода. Если IP-адрес получить не удается, шифрование не выполняется.

Для отправки call-запроса на управляющий сервер троянец формирует строку следующего вида:


action=call&ip=123.123.123.123&pc_user=root&pc_name=PC&pc_group=WORKGROUP&pc_keyb=0&os_major=Microsoft
Windows
XP&os_bit=x86&ransom_id=1111111111111111&hdd=C:FIXED_...&pub_key=...&priv_key=...&version=1.0 

где:

  • action — тип запроса;
  • ip - внешний адрес инфицированного компьютера (если троянцу не удалось его получить, поле остается пустым);
  • pc_user — имя пользователя;
  • pc_name — имя компьютера;
  • pc_group — имя рабочей группы;
  • pc_keyb — код раскладки клавиатуры;
  • os_major — версия Windows (извлекается из ключа системного реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\productName);
  • os_bit — разрядность Windows;
  • ransom_id — идентификатор заражения;
  • hdd - информация о дисках;
  • pub_key — закодированный в base64 публичный ключ;
  • priv_key — закодированный в base64 приватный ключ;
  • version — внутренняя версия троянца.

Полученная строка шифруется с использованием алгоритма RC4, затем результат дополнительно кодируется с использованием base64. Полученные данные отсылаются на управляющий сервер POST-запросом вида %IP_ADDR%/curl.php?token=1234 (значение token извлекается из упакованного тела троянца). В ответ вредоносная программа получает закодированные с использованием base64 данные, зашифрованные тем же ключом RC4. В них может содержаться команда на самоудаление и список расширений для шифрования (тоже закодированный с помощью base64).

В настоящее время расшифровка файлов, зашифрованных этим троянцем, невозможна.

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2018

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А