Összefoglaló
A Ransomcrypt trójai komoly károkat okozott, értékes fájlokat titkosított, a titkosított fájlok helyreállításhoz szükséges információkért váltságdíjat követelt. A Ransomcrypt program “L” betűjelű változata az elődjénél többre képes, adatlopásra is használható. A károkozó képes a webböngészők által eltárolt jelszavakat, felhasználóneveket és bizalmas adatokat összegyűjteni és a megszerzett információkat kiszivárogtatni a terjesztői számára.
A trójai a követeléseit általában orosz nyelven közli. A kártevő adatbázisokat, képeket, dokumentumokat, tömörített állományokat és Excel táblázatokat titkosít. A trójai több példányban felmásol a számítógépre egy PAYCRYPT_GMAIL_COM.txt nevű fájlt, ami a tartalmazza a zsaroló üzenetét.
Leírás
1. A következő állományokat hozza létre:
%meghajtó betűjele%PAYCRYPT_GMAIL_COM.txt
%UserProfile%DesktopPAYCRYPT_GMAIL_COM.txt
%meghajtó betűjele%UsersPublicDesktopPAYCRYPT_GMAIL_COM.txt
C:Documents and SettingsAll UsersApplication DataDesktopPAYCRYPT_GMAIL_COM.txt
%Temp%PAYCRYPT_GMAIL_COM.txt
%UserProfile%DesktopPAYCRYPT_GMAIL_COM.txt
%meghajtó betűjele%UsersPublicDesktopPAYCRYPT_GMAIL_COM.txt
C:Documents and SettingsAll UsersApplication DataDesktopPAYCRYPT_GMAIL_COM.txt
2. Az alábbi kiterjesztésekkel rendelkező fájlokat kutatja fel:
.xls, .xlsx, .doc, .docx, .pdf, .jpg, .cd, .jpeg, .1cd, .rar, .mdb, .zip
3. Letitkosítja a fenti állományokat.
4. A webböngészőkben eltárolt felhasználóneveket és jelszavakat exportálja.
5. Egy előre meghatározott e-mail címre továbbítja a megszerzett adatokat.
6. Az egyik PAYCRYPT_GMAIL_COM.txt fájlt megnyitja és ezen keresztül közli a követeléseit.
Támadás típusa
Crypthographical (Titkosítás)Information disclosure (Információ/adat szivárgás)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com