Cryptolocker.M trójai


2015. február 9. 10:26

CH azonosító

CH-11992

Angol cím

Cryptolocker.M trojan

Felfedezés dátuma

2015.02.08.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Cryptolocker.M trójai az elődjeihez hasonlóan fájlok titkosításával és a felhasználók megzsarolásával próbálja pénzhez juttatni a terjesztőit.
A Cryptolocker.M trójai mindössze két fájlt hoz létre a rendszereken, amelyek közül az egyik a működéséért felel, míg a másik egy képfájl, ami a zsaroló üzenetet tartalmazza. A kártékony program a dokumentumokat, az Excel táblázatokat, a fényképeket, a tömörített fájlokat, a multimédiás állományokat, a prezentációkat, a tervrajzokat és az adatbázisokat érinti. Ezeket egytől egyig titkosítja, miközben a fájlneveket kiegészíti egy karaktersorozattal. Minden olyan könyvtárba, amelyben legalább egy fájlt titkosít, bemásol egy szöveges állományt a felhasználói teendőkkel kapcsolatban.

Leírás

Technikai részletek:

1. Létrehozza a következő állományokat:
%Temp%w8i9eHkHOwWwQlX.exe
%Temp%ocegiklmnabcefgj.bmp

2. A regisztrációs adatbázishoz hozzáadja a következő értékeket:

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunAlcmeter=”%Temp%w8i9eHkHOwWwQlX.exe”
  • HKEY_LOCAL_MACHINESOFTWAREClasses.CryptoTorLocker2015!@=”PRPASCBHJSZLMOM”
  • HKEY_LOCAL_MACHINESOFTWAREClassesPRPASCBHJSZLMOMshellopencommand@=”%Temp%ocegiklmnabcefgj.bmp”

3. Felkutatja az alábbi kiterjesztésekkel rendelkező állományokat:

  • .zip
  • .rar
  • .7z
  • .tar
  • .gzip
  • .jpg
  • .jpeg
  • .psd
  • .cdr
  • .dwg
  • .max
  • .bmp
  • .gif
  • .png
  • .doc
  • .docx
  • .xls
  • .xlsx
  • .ppt
  • .pptx
  • .txt
  • .pdf
  • .djvu
  • .mdb
  • .cer
  • .p12
  • .pfx
  • .1cd
  • .md
  • .mdf
  • .dbf
  • .odt
  • .vob
  • .ifo
  • .lnk
  • .torrent
  • .mov
  • .m2v
  • .3gp
  • .mpeg
  • .mpg
  • .flv
  • .avi
  • .mp4
  • .wmv
  • .divx
  • .mkv
  • .mp3
  • .wav
  • .flac
  • .ape
  • .wma
  • .ac3
  • .sql
  • .wallet
  • .dat

4. A fenti fájlokat letitkosítja, és a kompromittált állományok nevét kiegészíti egy CryptoTorLocker2015! karaktersorozattal.

5. Minden érintett könyvtárba bemásol egy HOW TO DECRYPT FILES.txt nevű fájlt.

6. Megjelenít egy üzenetablakot, és közli a követeléseit.

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
A kódolt fájlokat helyreállíthatja biztonsági másolatokból. 

Támadás típusa

Ransomware

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: tech.cert-hungary.hu

Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »