ICQ:646445725 646445725 - для физ. лиц

619531872 619531872 - для юр.  лиц
      

Ваше мнение
Партнерский статус
Баннер
Баннер
Баннер
Баннер
Баннер
Проект CHERNIL.NET
Баннер
Клиентская панель



Новостные ленты
Главная Новости Троянцы-энкодеры, шифрующие хранящиеся на зараженном устройстве файлы и требующие выкуп за их расшифровку, по-прежнему представляют серьезную опасность
Троянцы-энкодеры, шифрующие хранящиеся на зараженном устройстве файлы и требующие выкуп за их расшифровку, по-прежнему представляют серьезную опасность PDF Печать E-mail
Автор: Халатов Павел   
30.03.2018 17:24

CSM002721

Компания «Доктор Веб» предупреждает пользователей о распространении очередного такого шифровальщика.

Троянец, названный создателями «GandCrab!», был добавлен в вирусные базы Dr.Web под именем Trojan.Encoder.24384. Он присваивает зашифрованным файлам расширение *.GDCB. В настоящее время известно две версии этого энкодера.

 Троянец-шифровальщик для операционных систем семейства Microsoft Windows. Самоназвание — «GandCrab!». Сообщение с требованиями вымогателей и список расширений шифруемых файлов хранятся в теле троянца зашифрованными с использованием алгоритма XOR.

Запустившись на атакуемом устройстве, работающем под управлением Microsoft Windows, Trojan.Encoder.24384 может собирать информацию о наличии запущенных процессов антивирусов.

Затем, выполнив проверку с целью предотвращения повторного запуска, он принудительно завершает процессы программ по заданному вирусописателями списку. Установив свою копию на диск, для обеспечения своего автоматического запуска энкодер модифицирует ветвь системного реестра Windows.

Троянец шифрует содержимое фиксированных, съемных и сетевых дисков, за исключением ряда папок, среди которых имеются служебные и системные. Каждый диск шифруется в отдельном потоке. После окончания шифрования троянец отправляет на сервер данные о количестве зашифрованных файлов и времени, потраченном на шифрование.

С целью предотвращения повторного запуска троянец получает имя рабочей группы в локальной сети, серийный номер тома на жестком диске и наименование модели процессора. На основании этих данных он формирует имя мьютекса. Если мьютекс с таким именем уже существует, троянец завершает работу. После этого он принудительно завершает некоторые процессы.

Троянец использует управляющий сервер, доменное имя которого не разрешается стандартными способами. Для получения IP-адреса этого сервера шифровальщик выполняет команду nslookup и ищет нужную информацию в ее выводе.

В настоящее время расшифровка файлов, зашифрованных троянцем Trojan.Encoder.24384, невозможна. Компания «Доктор Веб» снова напоминает пользователям, что наиболее надежным способом уберечь свои файлы является своевременное резервное копирование всех важных данных, при этом для хранения резервных копий желательно использовать внешние носители информации.
https://vms.drweb.ru/virus/?_is=1&i=16422031

 
  • Наша фирма начала продажу электронных книг  и планшетов. Ассортимент пока невелик, но мы готовы принять заказы и доставить Вам понравившееся устройство.
    Подробнее...

  • Мы с радостью ответим на Ваши вопросы по тел. 2-31-91 или 8-910-79-333-55.
    Если Вам по душе более живое общение - приходите к нам по адресу: ул. Парковая д.12 (цокольный этаж).  
    ICQ:
    646445725 646445725- для физ. лиц
    619531872 619531872 - для юр. лиц

  • Адрес: ул. Парковая, д. 12. 
    Проезд автобусами 2, 3, 8 до остановки "Славянский рынок".