Trojan.Encoder.12544. Инструкция пострадавшим


Trojan.Encoder.12544 Trebovanie s vikupomРоссию и Украину захлестнула новая эпидемия шифровальщика - Trojan.Encoder.12544. На этот раз его жертвами стали нефтяные, телекоммуникационные и финансовые компании из этих стран.

Trojan.Encoder.12544 - распространяется с помощью уязвимости в протоколе SMB v1 - MS17-010 (CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148), которая была реализована через эксплойт NSA "ETERNAL_BLUE". Для распространения использует 139 и 445 TCP-порты. Это уязвимость класса Remote code execution, что означает возможность заражения компьютера удалeнно.

1. Чтобы восстановить возможность входа в операционную систему, необходимо восстановить MBR (в том числе стандартными средствами консоли восстановления Windows, запуском утилиты bootrec.exe /FixMbr).

Также для этого можно использовать Dr.Web LiveDisk — создайте загрузочный диск или флешку, выполните загрузку с этого съемного устройства, запустите сканер Dr.Web, выполните проверку пострадавшего диска, найденное Обезвредить.

2. После этого: отключите ПК от ЛВС, выполните запуск системы, установите патч MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.


На компьютеры с устаревшими ОС Windows XP и Windows 2003 необходимо установить патчи безопасности вручную, скачав их по прямым ссылкам:


3. Далее следует выполнить контрольную полную проверку при помощи бесплатной лечащей утилиты Dr.Web CureIt!.


В настоящий момент расшифровки файлов нет, ведется анализ и поиск решений, мы сообщим вам об окончательных результатах.


Обновлено (29.06.2017 12:21)