Trojan.Encoder.12544 или новая глобальная атака шифровальщика


Trojan.Encoder.12544 - новый червь-шифровальщик, представляющий серьезную опасность для персональных компьютеров, работающих под управлением Microsoft Windows.

Шифровальщик Trojan.Encoder.12544 проник в информационные системы целого ряда госструктур, банков и коммерческих организаций, а также заразила ПК пользователей в нескольких странах.

Троян заражает компьютеры при помощи того же набора уязвимостей, которые ранее использовались злоумышленниками для внедрения на компьютеры жертв трояна WannaCry. Массовое распространение Trojan.Encoder.12544 началось в первой половине дня 27.06.2017. При запуске на атакуемом компьютере троян несколькими способами ищет доступные в локальной сети ПК, после чего по списку полученных IP-адресов начинает сканировать порты 445 и 139. Обнаружив в сети машины с открытыми этими портами, Trojan.Encoder.12544 пытается инфицировать их с использованием широко известной уязвимости в протоколе SMB (MS17-10).

В своем теле троян содержит 4 сжатых ресурса: 2 из них являются 32- и 64-разрядной версиями утилиты Mimikatz, предназначенной для перехвата паролей открытых сессий в Windows. В зависимости от разрядности операционной системы он распаковывает соответствующую версию утилиты, сохраняет ее во временную папку, после чего запускает. Пои помощи утилиты Mimikatz, а также еще двумя другими способами, Trojan.Encoder.12544 получает список локальных и доменных пользователей, авторизованных на зараженном компьютере. После этого он ищет доступные на запись сетевые папки, пытается открыть их с использованием полученных учетных данных и сохранить там свою копию. Чтобы инфицировать компьютеры, к которым ему удалось получить доступ, Trojan.Encoder.12544 использует утилиту для управления удаленным компьютером PsExec (она также хранится в ресурсах трояна) или стандартную консольную утилиту для вызова объектов Wmic.exe.

Контроль своего повторного запуска энкодер осуществляет с помощью файла, сохраняемого им в папке C:\Windows\. Данный файл имеет имя, соответствующее имени трояна без расширения. А поскольку распространяемый злоумышленниками в настоящий момент образец червя имеет имя perfc.dat, то файл, предотвращающий его повторный запуск, будет иметь имя C:\Windows\perfc. Однако, если злоумышленники изменят исходное имя трояна, и создание в папке C:\Windows\ файла с именем perfc без расширения (как советуют некоторые антивирусные компании), то компьютер уже не спасти от заражения. Кроме того, троян осуществляет проверку наличия файла, только если у него достаточно для этого привилегий в операционной системе.

Запустившись на инфицированном компьютере троян настраивает для себя привилегии, загружает собственную копию в память и передает ей управление. Затем энкодер перезаписывает собственный файл на диске мусорными данными и удаляет его. В первую очередь Trojan.Encoder.12544 портит VBR (Volume Boot Record, загрузочная запись раздела) диска C: - первый сектор диска заполняется мусорными данными. Затем шифровальщик копирует оригинальную загрузочную запись Windows в другой участок диска, предварительно зашифровав ее с использованием алгоритма XOR, а вместо нее записывает свою. Далее он создает задание на перезагрузку компьютера, и начинает шифровать все обнаруженные на локальных физических дисках файлы с расширениями:

  • .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.


Троян шифрует файлы только на фиксированных дисках компьютера, данные на каждом диске шифруются в отдельном потоке. При этом шифрование осуществляется с использованием алгоритмов AES-128-CBC, для каждого диска создается собственный ключ, что является отличительной особенностью трояна. Этот ключ шифруется с использованием алгоритма RSA-2048 (другие исследователи сообщали, что используется 800-битный ключ) и сохраняется в корневую папку зашифрованного диска в файл с именем README.TXT. Зашифрованные файлы не получают дополнительного расширения.

После выполнения созданного ранее задания компьютер перезагружается, и управление передается троянской загрузочной записи. Она демонстрирует на экране зараженного компьютера текст, напоминающий сообщение стандартной утилиты для проверки дисков CHDISK.

Trojan.Encoder.12544 CHKDSK

В это время Trojan.Encoder.12544 шифрует MFT (Master File Table). По окончании шифрования, Trojan.Encoder.12544 демонстрирует на экране требование злоумышленников об уплате выкупа.

Trojan.Encoder.12544 Trebovanie s vikupom

Внимание! Если в момент запуска на экране появилось сообщение о запуске утилиты CHDISK, стоит незамедлительно выключить питание ПК.

В этом случае загрузочная запись будет повреждена, однако ее можно исправить при помощи утилиты восстановления Windows или Консоли восстановления, загрузившись с дистрибутивного диска. Также можно воспользоваться утилитой Dr.Web LiveDisk:

  • создайте загрузочный диск или флешку;
  • выполните загрузку с этого съемного устройства;
  • запустите сканер Dr.Web;
  • выполните проверку пострадавшего диска;
  • выберите функцию "Обезвредить" для найденных угроз.


Известно, что единственный используемый распространителями Trojan.Encoder.12544 ящик электронной почты в настоящее время заблокирован. По этой причине злоумышленники, в принципе, не могут связаться со своими жертвами (чтобы, например, предложить расшифровку файлов).


Напоминаем! Во избежание потери информации стоит регулярно и своевременно создавать резервные копии всех критичных данных на независимых носителях.


Инструкция пострадавшим от Trojan.Encoder.12544