マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話

お問い合わせ履歴

電話(英語)

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Trojan.Encoder.12544に感染してしまった場合の対処方法

2017年6月28日

株式会社Doctor Web Pacific


Trojan.Encoder.12544 は、SMB v1の脆弱性MS17-010 (CVE-2017-0144、 CVE-2017-0145、 CVE-2017-0146、 CVE-2017-0148)を悪用して拡散されています。この脆弱性は米国家安全保障局(NSA)が使用する攻撃コードの1つである「ETERNAL_BLUE」が悪用する脆弱性です。拡散にはTCPポート139番および445番が使用されています。この「リモートコード実行」脆弱性は、攻撃者がコンピューターをリモートで感染させることを可能にします。

  1. Windowsへのアクセスを取り戻すために、MBRを復元する必要があります(「回復コンソール」内の標準的手順を使用し、 "bootrec.exe /FixMbr" を起動させます)。

    Dr.Web LiveDiskを使用して復元することも可能です — ブータブルCDまたはUSBドライブを作成し、Dr.Web scannerを起動してください。攻撃されたハードドライブのスキャンを実行し、感染したファイルを全て「修復」してください。

  2. お使いのコンピューターをネットワークから切断した後で起動させ、MS17-010パッチ(https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx)を適用してください。

  3. Windows XP またはWindows 2003搭載のコンピューターでは、セキュリティアップデートを手動でインストールする必要があります。2017年6月28日時点では、以下のURLよりダウンロード可能です:

    Windows XP SP3:
    download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
    Windows Server 2003 x86:
    download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
    Windows Server 2003 x64:
    download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
  4. 次に、Dr.Webをインストールします。インターネットに接続してウイルスデータベースをアップデートし、システムのフルスキャンを実行してください。

個人向けトライアル 法人向けトライアル

このトロイの木馬はMBR(マスターブートレコード)を置き換え、システムの再起動タスクを作成して実行します。マスターブートレコードが置き換えられているため、その後OSは起動しなくなります。システムの再起動タスクが作成されると、直ちにデータの暗号化が開始されます。ドライブごとに個別のAESキーが生成され、ディスクが完全に暗号化されるまでメモリ内に置かれます。このキーはパブリックRSAキーを使用して暗号化され、その後削除されます。MBRの置き換えに成功し、システムが再起動されるとMFTファイルもまた暗号化されます。このファイルにはNTFSドライブ上にある全てのファイルに関する情報が含まれています。これら全ての手順が完了すると、データはプライベートキーを使用する以外の方法で復元することができなくなります。したがって、キーがなければ、いずれのファイルも復元することはできません。

現時点では、復号化は不可能となっています。Doctor Webのアナリストによって、問題と解決策についての調査が行われています。詳細が確定次第お知らせいたします。

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments