Le 28 juin 2017

Le Trojan Trojan.Encoder.12544 se propage en utilisant une vulnérabilité dans le protocole SMB v1-MS17-010 (CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148), qui a été réalisée via l'exploit NSA " ETERNAL_BLUE " et utilise pour la propagation les ports TCP 139 et 445. C'est une vulnérabilité de classe Remote code execution, ce qui induit la possibilité de contaminer l'ordinateur à distance.

1. 1. Pour restaurer la possibilité d'ouvrir une session du système d'exploitation, il faut restaurer le MBR (y compris avec les outils standard de la console de récupération Windows, où il faut lancer l'utilitaire bootrec.exe /FixMbr).

   Vous pouvez également utiliser Dr.Web LiveDisk - dans ce cas, créez un disque bootable ou une clé USB depuis laquelle vous pourrez démarrer, puis démarrez depuis ce support amovible, lancez le scanner Dr.Web, analysez la partie restante du disque touché et appliquez l'action « Neutraliser » aux menaces détectées.

2. Ensuite procédez comme suit : Déconnectez le PC du réseau local, démarrez l'OS et installez le patch MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.

   Sur les PC avec Windows XP et Windows 2003, il faudra installer les patchs de sécurité manuellement, pour ce faire, téléchargez-les sur les liens directement.

   Windows XP SP3:

   download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

   Windows Server 2003 x86:

   download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe

   Windows Server 2003 x64:

   download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe

3. Ensuite installez l'antivirus Dr.Web, connectez-vous à Internet, mettez à jour les bases virales et lancez l'analyse complète.

Démo pour les particuliers Démo pour les entreprises

Le Trojan remplace le MBR (master boot record du disque) puis il crée et exécute une tâche de redémarrage dans le planificateur de tâche. Après le redémarrage, le chargement de l'OS n'est plus possible, car le secteur boot du disque a été remplacé. Immédiatement après la tâche de redémarrage, le processus de chiffrement se met en marche. Pour chaque lecteur, une clé AES est générée et elle persiste en mémoire jusqu'à la fin du chiffrement du disque. Elle est chiffrée avec la clé publique RSA puis elle est supprimée. Après le redémarrage, en cas de substitution réussie du MBR, le tableau de fichier principal MFT, où des informations sur le contenu du disque sont stockées, est également chiffré. Afin de restaurer le contenu, il faut posséder la clé privée. Sans clé, il est impossible de récupérer les données.

A l'heure actuelle, il n'existe pas de procédure de déchiffrement des fichiers touchés, nous continuons nos recherches et nous vous tiendrons informés des solutions que nous aurons pu trouver.