Cryptolocker.B trójai


2013. december 24. 13:00

CH azonosító

CH-10235

Angol cím

Trojan.Cryptolocker.B

Felfedezés dátuma

2013.12.22.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 7

Érintett verziók

Windows 2000
Windows 7
Windows 95
Windows 98
Windows Me
Windows NT
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

Összefoglaló

A Cryptolocker.B egy olyan trójai, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja neki eladni a titkosítás feloldásához szükséges jelszót.

Leírás

A trójai a futattatása után a következő helyre másolja magát: %System%msunet.exe.

A vírus a következő bejegyzéseket hozza létre annak érdekében, hogy a Windows minden indításánál futhasson:

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”MSUpdate” = “%System%msunet.exe”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce”*MSUpdate” = “%System%msunet.exe”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”MSUpdate” = “%system%msunet.exe”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce”*MSUpdate” = “%System%msunet.exe”

A vírus a következő bejegyzéseket módosítja:

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”Userinit” = “%System%userinit.exe,,%System%msunet.exe”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon”Userinit” = “%System%userinit.exe,,%System%msunet.exe”

A vírus zárolja az asztalt, titkosítja a fájlokat, majd megjeleníti a “váltságdíj” fizetésének részleteit.

A következő kiterjesztésű fájlokat titkosítja a vírus:

  • accdb
  • ai
  • arw
  • bay
  • cdr
  • cer
  • cr2
  • crt
  • crw
  • dbf
  • dcr
  • der
  • dng
  • doc
  • docm
  • docx
  • dwg
  • dxf
  • dxg
  • eps
  • erf
  • indd
  • jpe
  • jpg
  • kdc
  • mdb
  • mdf
  • mef
  • mp3
  • mp4
  • mrw
  • nef
  • nrw
  • odb
  • odm
  • odp
  • ods
  • odt
  • orf
  • p12
  • p7b
  • p7c
  • pdd
  • pef
  • pem
  • pfx
  • ppt
  • pptm
  • pptx
  • psd
  • pst
  • ptx
  • r3d
  • raf
  • raw
  • rtf
  • rwl
  • srf
  • srw
  • txt
  • wb2
  • wpd
  • wps
  • xlk
  • xls
  • xlsb
  • xlsm
  • xlsx

A trójai az előzőeken túl alábbi műveleteket hajthatja végre:

  • kereshet fájlokat, mappákat
  • fel- és letölthet fájlokat
  • befejezhet folyamatokat

Ezután a vírus megróbál kapcsolódni a http://strathmorej.byethost3.com/dd/testcon.php távoli helyhez.

 

Megoldás

Használjon tűzfalat és vírusírtót vagy frissítse azokat.

Támadás típusa

Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »