Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Recommandations pour les utilisateurs dont les machines ont été touchées par le Trojan.Encoder.12544

Le 28 juin 2017

Le Trojan Trojan.Encoder.12544 se propage en utilisant une vulnérabilité dans le protocole SMB v1-MS17-010 (CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148), qui a été réalisée via l'exploit NSA " ETERNAL_BLUE " et utilise pour la propagation les ports TCP 139 et 445. C'est une vulnérabilité de classe Remote code execution, ce qui induit la possibilité de contaminer l'ordinateur à distance.

  1. 1. Pour restaurer la possibilité d'ouvrir une session du système d'exploitation, il faut restaurer le MBR (y compris avec les outils standard de la console de récupération Windows, où il faut lancer l'utilitaire bootrec.exe /FixMbr).

    Vous pouvez également utiliser Dr.Web LiveDisk - dans ce cas, créez un disque bootable ou une clé USB depuis laquelle vous pourrez démarrer, puis démarrez depuis ce support amovible, lancez le scanner Dr.Web, analysez la partie restante du disque touché et appliquez l'action « Neutraliser » aux menaces détectées.

  2. Ensuite procédez comme suit : Déconnectez le PC du réseau local, démarrez l'OS et installez le patch MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.

  3. Ensuite installez l'antivirus Dr.Web, connectez-vous à Internet, mettez à jour les bases virales et lancez l'analyse complète.

Démo pour les particuliers Démo pour les entreprises

Le Trojan remplace le MBR (master boot record du disque) puis il crée et exécute une tâche de redémarrage dans le planificateur de tâche. Après le redémarrage, le chargement de l'OS n'est plus possible, car le secteur boot du disque a été remplacé. Immédiatement après la tâche de redémarrage, le processus de chiffrement se met en marche. Pour chaque lecteur, une clé AES est générée et elle persiste en mémoire jusqu'à la fin du chiffrement du disque. Elle est chiffrée avec la clé publique RSA puis elle est supprimée. Après le redémarrage, en cas de substitution réussie du MBR, le tableau de fichier principal MFT, où des informations sur le contenu du disque sont stockées, est également chiffré. Afin de restaurer le contenu, il faut posséder la clé privée. Sans clé, il est impossible de récupérer les données.

A l'heure actuelle, il n'existe pas de procédure de déchiffrement des fichiers touchés, nous continuons nos recherches et nous vous tiendrons informés des solutions que nous aurons pu trouver.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg