Для коректної роботи нашого сайта необхідно включити підтримку JavaScript у Вашому браузері.
Trojan.Encoder.35162
Добавлен в вирусную базу Dr.Web:
2022-04-01
Описание добавлено:
2022-04-03
Technical Information
To ensure autorun and distribution
Creates the following files on removable media
<Drive name for removable media>:\recovery information.txt
<Drive name for removable media>:\weeklysheet1215.doc
<Drive name for removable media>:\default.bmp
<Drive name for removable media>:\contoso.cer
<Drive name for removable media>:\sdksampleunprivdeveloper.cer
<Drive name for removable media>:\contosoroot_1.cer
<Drive name for removable media>:\testcertificate.cer
<Drive name for removable media>:\february_catalogue__2015.doc
<Drive name for removable media>:\testee.cer
<Drive name for removable media>:\pmd.cer
<Drive name for removable media>:\dial.bmp
<Drive name for removable media>:\tileimage.bmp
<Drive name for removable media>:\000814251_video_01.avi
<Drive name for removable media>:\dialmap.bmp
<Drive name for removable media>:\coffee.bmp
<Drive name for removable media>:\contosoroot.cer
<Drive name for removable media>:\delete.avi
Malicious functions
To complicate detection of its presence in the operating system,
blocks the following features:
deletes volume shadow copies.
Injects code into
the following system processes:
%WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe
Modifies file system
Creates the following files
%TEMP%\iijycdgkvnfljmkkill$.bat
D:\$recycle.bin\s-1-5-21-1960123792-2022915161-3775307078-1001\recovery information.txt
D:\$recycle.bin\recovery information.txt
D:\recovery information.txt
Modifies the following files
D:\install.log
<Drive name for removable media>:\february_catalogue__2015.doc
<Drive name for removable media>:\contoso.cer
<Drive name for removable media>:\sdksampleunprivdeveloper.cer
<Drive name for removable media>:\contosoroot_1.cer
<Drive name for removable media>:\testcertificate.cer
<Drive name for removable media>:\testee.cer
<Drive name for removable media>:\contosoroot.cer
<Drive name for removable media>:\weeklysheet1215.doc
<Drive name for removable media>:\pmd.cer
<Drive name for removable media>:\tileimage.bmp
<Drive name for removable media>:\default.bmp
<Drive name for removable media>:\dialmap.bmp
<Drive name for removable media>:\archer.avi
<Drive name for removable media>:\coffee.bmp
<Drive name for removable media>:\000814251_video_01.avi
<Drive name for removable media>:\delete.avi
<Drive name for removable media>:\dial.bmp
<Drive name for removable media>:\cveuropeo.doc
Modifies user data files (Trojan.Encoder).
Network activity
Connects to
'91.##3.44.142':80
'22#.0.0.22':445
'22#.0.0.22':135
TCP
HTTP GET requests
http://91.##3.44.142/arx-Zroszgcyo_Naqnxpvk.bmp
Miscellaneous
Creates and executes the following
'%WINDIR%\syswow64\cmd.exe' /c timeout 20' (with hidden window)
'<SYSTEM32>\vssadmin.exe' delete shadows /all /quiet' (with hidden window)
'<SYSTEM32>\cmd.exe' /c bcdedit /set {current} bootstatuspolicy ignoreallfailures' (with hidden window)
'<SYSTEM32>\cmd.exe' /c bcdedit /set {current} recoveryenabled no' (with hidden window)
Executes the following
'%WINDIR%\syswow64\cmd.exe' /c timeout 20
'%WINDIR%\syswow64\cacls.exe' %WINDIR%\SysWOW64\cmd.exe /e /g system:r
'%WINDIR%\syswow64\cacls.exe' %WINDIR%\SysWOW64\cmd.exe /e /d mssql$sqlexpress
'%WINDIR%\syswow64\takeown.exe' /f <SYSTEM32>\net.exe /a
'%WINDIR%\syswow64\cacls.exe' <SYSTEM32>\net.exe /g Administrators:f
'%WINDIR%\syswow64\cacls.exe' <SYSTEM32>\net.exe /e /g Users:r
'%WINDIR%\syswow64\cacls.exe' <SYSTEM32>\net.exe /e /g Administrators:r
'%WINDIR%\syswow64\cacls.exe' <SYSTEM32>\net.exe /e /d SERVICE
'%WINDIR%\syswow64\cacls.exe' <SYSTEM32>\net.exe /e /d mssqlserver
'%WINDIR%\syswow64\cacls.exe' <SYSTEM32>\net.exe /e /d "network service"
'%WINDIR%\syswow64\cacls.exe' <SYSTEM32>\net.exe /e /d mssql$sqlexpress
'%WINDIR%\syswow64\takeown.exe' /f <SYSTEM32>\net1.exe /a
'%WINDIR%\syswow64\takeown.exe' /f %WINDIR%\SysWOW64\net.exe /a
'%WINDIR%\syswow64\cacls.exe' %WINDIR%\SysWOW64\net.exe /g Administrators:f
'%WINDIR%\syswow64\cacls.exe' %WINDIR%\SysWOW64\net.exe /e /g Users:r
'%WINDIR%\syswow64\cacls.exe' %WINDIR%\SysWOW64\net.exe /e /g Administrators:r
'%WINDIR%\syswow64\cacls.exe' %WINDIR%\SysWOW64\net.exe /e /d SERVICE
'%WINDIR%\syswow64\cacls.exe' %WINDIR%\SysWOW64\net.exe /e /d mssqlserver
'%WINDIR%\syswow64\cacls.exe' %WINDIR%\SysWOW64\net.exe /e /d "network service"
'%WINDIR%\syswow64\cacls.exe' %WINDIR%\SysWOW64\net.exe /e /d system
'%WINDIR%\syswow64\cacls.exe' %WINDIR%\SysWOW64\net.exe /e /d mssql$sqlexpress
'%WINDIR%\syswow64\cacls.exe' %WINDIR%\SysWOW64\cmd.exe /e /d "network service"
'%WINDIR%\syswow64\cacls.exe' <SYSTEM32>\net.exe /e /d system
'%WINDIR%\syswow64\cacls.exe' %WINDIR%\SysWOW64\cmd.exe /e /d mssqlserver
'%WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe'
'%WINDIR%\syswow64\timeout.exe' 20
'%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\Iijycdgkvnfljmkkill$.bat" "
'%WINDIR%\syswow64\reg.exe' delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" /v "AutoRun" /f
'%WINDIR%\syswow64\takeown.exe' /f <SYSTEM32>\cmd.exe /a
'%WINDIR%\syswow64\cmd.exe' /S /D /c" echo y"
'%WINDIR%\syswow64\cacls.exe' <SYSTEM32>\cmd.exe /g Administrators:f
'%WINDIR%\syswow64\cacls.exe' <SYSTEM32>\cmd.exe /e /g Users:r
'%WINDIR%\syswow64\cacls.exe' <SYSTEM32>\cmd.exe /e /g Administrators:r
'%WINDIR%\syswow64\cacls.exe' <SYSTEM32>\cmd.exe /e /d SERVICE
'%WINDIR%\syswow64\cacls.exe' <SYSTEM32>\cmd.exe /e /d mssqlserver
'%WINDIR%\syswow64\cacls.exe' %WINDIR%\SysWOW64\cmd.exe /e /g Administrators:r
'<SYSTEM32>\cmd.exe' /c bcdedit /set {current} bootstatuspolicy ignoreallfailures
'<SYSTEM32>\cmd.exe' /c bcdedit /set {current} recoveryenabled no
'<SYSTEM32>\bcdedit.exe' /set {current} bootstatuspolicy ignoreallfailures
'%WINDIR%\syswow64\cacls.exe' <SYSTEM32>\cmd.exe /e /d "network service"
'%WINDIR%\syswow64\cacls.exe' <SYSTEM32>\cmd.exe /e /g system:r
'%WINDIR%\syswow64\cacls.exe' <SYSTEM32>\cmd.exe /e /d mssql$sqlexpress
'%WINDIR%\syswow64\takeown.exe' /f %WINDIR%\SysWOW64\cmd.exe /a
'%WINDIR%\syswow64\cacls.exe' %WINDIR%\SysWOW64\cmd.exe /g Administrators:f
'%WINDIR%\syswow64\cacls.exe' %WINDIR%\SysWOW64\cmd.exe /e /g Users:r
'%WINDIR%\syswow64\cacls.exe' %WINDIR%\SysWOW64\cmd.exe /e /d SERVICE
'%WINDIR%\syswow64\cacls.exe' <SYSTEM32>\net1.exe /g Administrators:f
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Завантажте Dr.Web для Android
Безкоштовно на 3 місяці
Всі компоненти захисту
Подовження демо в AppGallery/Google Pay
Подальший перегляд даного сайта означає, що Ви погоджуєтесь на використання нами cookie-файлів та інших технологій збору статистичних відомостей про відвідувачів. Докладніше
OK