Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.Encoder.31825

Добавлен в вирусную базу Dr.Web: 2020-05-17

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
  • [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '1' = '"<Полный путь к файлу>"'
Создает следующие файлы на съемном носителе
  • <Имя диска съемного носителя>:\correct.avi
  • <Имя диска съемного носителя>:\join.avi
  • <Имя диска съемного носителя>:\split.avi
  • <Имя диска съемного носителя>:\delete.avi
  • <Имя диска съемного носителя>:\000814251_video_01.avi
  • <Имя диска съемного носителя>:\dial.bmp
  • <Имя диска съемного носителя>:\dashborder_144.bmp
  • <Имя диска съемного носителя>:\testee.cer
  • <Имя диска съемного носителя>:\contosoroot.cer
  • <Имя диска съемного носителя>:\pmd.cer
  • <Имя диска съемного носителя>:\sdszfo.docx
  • <Имя диска съемного носителя>:\thlps_keeper_mayer_1965.docx
Вредоносные функции
Для затруднения выявления своего присутствия в системе
удаляет теневые копии разделов.
Завершает или пытается завершить
следующие системные процессы:
  • <SYSTEM32>\dwm.exe
  • <SYSTEM32>\taskhost.exe
Изменения в файловой системе
Создает следующие файлы
  • C:\readme-warning.txt
  • C:\far2\plugins\editcase\readme-warning.txt
  • C:\far2\plugins\emenu\readme-warning.txt
  • C:\far2\plugins\farcmds\readme-warning.txt
  • C:\far2\plugins\filecase\readme-warning.txt
  • C:\far2\plugins\ftp\lib\readme-warning.txt
  • C:\far2\plugins\ftp\readme-warning.txt
  • C:\far2\plugins\compare\readme-warning.txt
  • C:\far2\plugins\drawline\readme-warning.txt
  • C:\far2\plugins\hlfviewer\readme-warning.txt
  • C:\far2\plugins\proclist\readme-warning.txt
  • C:\far2\plugins\tmppanel\readme-warning.txt
  • C:\far2\pluginsdk\headers.c\readme-warning.txt
  • C:\far2\pluginsdk\headers.pas\readme-warning.txt
  • C:\far2\readme-warning.txt
  • C:\msocache\all users\{90140000-0011-0000-1000-0000000ff1ce}-c\readme-warning.txt
  • C:\far2\plugins\macroview\readme-warning.txt
  • C:\far2\plugins\network\readme-warning.txt
  • C:\far2\plugins\brackets\readme-warning.txt
  • C:\far2\plugins\autowrap\readme-warning.txt
  • C:\far2\plugins\arclite\readme-warning.txt
  • D:\readme-warning.txt
  • C:\far2\addons\colors\custom_highlighting\readme-warning.txt
  • C:\far2\addons\colors\default_highlighting\readme-warning.txt
  • C:\far2\addons\colors\readme-warning.txt
  • C:\far2\addons\macros\readme-warning.txt
  • C:\far2\addons\setup\readme-warning.txt
  • C:\far2\addons\shell\readme-warning.txt
  • %HOMEPATH%\desktop\readme-warning.txt
  • C:\far2\addons\xlat\russian\readme-warning.txt
  • C:\far2\addons\readme-warning.txt
  • C:\far2\documentation\eng\readme-warning.txt
  • C:\far2\documentation\rus\readme-warning.txt
  • C:\far2\encyclopedia\tap\readme-warning.txt
  • C:\far2\encyclopedia\readme-warning.txt
  • C:\far2\fexcept\readme-warning.txt
  • C:\far2\plugins\align\readme-warning.txt
  • C:\far2\addons\xlat\readme-warning.txt
  • C:\msocache\all users\{90140000-0016-0409-1000-0000000ff1ce}-c\readme-warning.txt
  • C:\msocache\all users\{90140000-0018-0409-1000-0000000ff1ce}-c\readme-warning.txt
Создает файлы с требованием оплатить расшифровку файлов (Trojan.Encoder).
Изменяет множество файлов пользовательских данных (Trojan.Encoder).
Изменяет расширения файлов пользовательских данных (Trojan.Encoder).
Другое
Создает и запускает на исполнение
  • '<SYSTEM32>\cmd.exe' ' (со скрытым окном)
Запускает на исполнение
  • '<SYSTEM32>\cmd.exe'
  • '<SYSTEM32>\sc.exe' delete "ReportServer$OPTIMA"
  • '<SYSTEM32>\sc.exe' delete "msftesql$SQLEXPRESS"
  • '<SYSTEM32>\sc.exe' delete "postgresql-x64-9.4"
  • '<SYSTEM32>\sc.exe' delete WRSVC
  • '<SYSTEM32>\sc.exe' delete ekrn
  • '<SYSTEM32>\sc.exe' delete klim6
  • '<SYSTEM32>\sc.exe' delete "AVP18.0.0"
  • '<SYSTEM32>\sc.exe' delete KLIF
  • '<SYSTEM32>\sc.exe' delete klpd
  • '<SYSTEM32>\sc.exe' delete klflt
  • '<SYSTEM32>\sc.exe' delete klbackupdisk
  • '<SYSTEM32>\sc.exe' delete klbackupflt
  • '<SYSTEM32>\sc.exe' delete klkbdflt
  • '<SYSTEM32>\sc.exe' delete klmouflt
  • '<SYSTEM32>\sc.exe' delete klhk
  • '<SYSTEM32>\sc.exe' delete "KSDE1.0.0"
  • '<SYSTEM32>\sc.exe' delete kltap
  • '<SYSTEM32>\sc.exe' delete TmFilter
  • '<SYSTEM32>\sc.exe' delete TMLWCSService
  • '<SYSTEM32>\sc.exe' delete tmusa
  • '<SYSTEM32>\sc.exe' delete TmPreFilter
  • '<SYSTEM32>\sc.exe' delete TMSmartRelayService
  • '<SYSTEM32>\sc.exe' delete TMiCRCScanService
  • '<SYSTEM32>\sc.exe' delete VSApiNt
  • '<SYSTEM32>\sc.exe' delete TmCCSF
  • '<SYSTEM32>\sc.exe' delete tmlisten
  • '<SYSTEM32>\sc.exe' delete TmProxy
  • '<SYSTEM32>\sc.exe' delete ntrtscan
  • '<SYSTEM32>\sc.exe' delete ofcservice
  • '<SYSTEM32>\sc.exe' delete "SQLAgent$OPTIMA"
  • '<SYSTEM32>\vssvc.exe'
  • '<SYSTEM32>\sc.exe' delete "MSSQL$OPTIMA"
  • '<SYSTEM32>\sc.exe' delete "SQLAgent$WOLTERSKLUWER"
  • '<SYSTEM32>\sc.exe' delete vmickvpexchange
  • '<SYSTEM32>\sc.exe' delete vmicguestinterface
  • '<SYSTEM32>\sc.exe' delete vmicshutdown
  • '<SYSTEM32>\sc.exe' delete vmicheartbeat
  • '<SYSTEM32>\sc.exe' delete vmicrdv
  • '<SYSTEM32>\sc.exe' delete storflt
  • '<SYSTEM32>\sc.exe' delete vmictimesync
  • '<SYSTEM32>\sc.exe' delete vmicvss
  • '<SYSTEM32>\sc.exe' delete MSSQLFDLauncher
  • '<SYSTEM32>\sc.exe' delete MSSQLSERVER
  • '<SYSTEM32>\sc.exe' delete SQLSERVERAGENT
  • '<SYSTEM32>\sc.exe' delete SQLBrowser
  • '<SYSTEM32>\sc.exe' delete SQLTELEMETRY
  • '<SYSTEM32>\sc.exe' delete MsDtsServer130
  • '<SYSTEM32>\sc.exe' delete SSISTELEMETRY130
  • '<SYSTEM32>\sc.exe' delete SQLWriter
  • '<SYSTEM32>\sc.exe' delete "MSSQL$VEEAMSQL2012"
  • '<SYSTEM32>\sc.exe' delete "SQLAgent$VEEAMSQL2012"
  • '<SYSTEM32>\sc.exe' delete MSSQL
  • '<SYSTEM32>\sc.exe' delete SQLAgent
  • '<SYSTEM32>\sc.exe' delete MSSQLServerADHelper100
  • '<SYSTEM32>\sc.exe' delete MSSQLServerOLAPService
  • '<SYSTEM32>\sc.exe' delete MsDtsServer100
  • '<SYSTEM32>\sc.exe' delete ReportServer
  • '<SYSTEM32>\sc.exe' delete "SQLTELEMETRY$HL"
  • '<SYSTEM32>\sc.exe' delete TMBMServer
  • '<SYSTEM32>\sc.exe' delete "MSSQL$PROGID"
  • '<SYSTEM32>\sc.exe' delete "MSSQL$WOLTERSKLUWER"
  • '<SYSTEM32>\sc.exe' delete "SQLAgent$PROGID"
  • '<SYSTEM32>\sc.exe' delete "MSSQLFDLauncher$OPTIMA"
  • '<SYSTEM32>\svchost.exe' -k swprv

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке