Cryptolocker.R trójai


2015. május 6. 10:26

CH azonosító

CH-12210

Angol cím

Trojan.Cryptolocker.R

Felfedezés dátuma

2015.05.05.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Cryptolocker trójai legújabb, “R”-betűjelű variánsa nagyon gondosan ügyel arra, hogy olyan számítógépet ne fertőzzön meg, amely a leleplezését, vizsgálatát szolgálhatja. Ennek megfelelően alaposan ellenőrzi, hogy az adott rendszer nem virtualizált-e, illetve nem sandbox környezetben fut. Amennyiben azt érzékeli, hogy nem megfelelő számára a számítógép, akkor rögtön leáll. Ellenkező esetben pedig nekilát a feladatainak elvégzéséhez.

A Cryptolocker.R minden dokumentumot, képet, multimédiás állományt, adatbázist, levelezéssel kapcsolatos adatállományt, CAD-rajzot titkosít. Ezt követően minden olyan könyvtárba, amelyben kompromittált fájlokat, egy szöveges állományt helyez el. Ezt megnyitva a felhasználó értesülhet arról, hogy mi történt a számítógépével, és miért is nem tudja használni az állományait.

A megfelelő védekezéshez ezúttal is elengedhetetlen a biztonsági mentések rendszeres készítése és a megfelelő tárolása.

Leírás

1. Ellenőrzi, hogy léteznek-e a következő folyamatok:
wireshark.exe
idaq.exe
idag.exe
ollydbg.exe
idag64.exe
pexplorer.exe
lordpe.exe
hiew32.exe
bindiff.exe
procexp.exe

2. Ellenőrzi, hogy a számítógép virtuális környezetben fut-e.

3. Ellenőrzi a számítógép nevét.

4. Amennyiben virtuális gépre vagy sandbox környezetre utaló jeleket észlel, akkor azonnal leáll.

5. Kapcsolódik egy távoli kiszolgálóhoz.

6. Egy batch állomány segítségével .exe kiterjesztésű fájlokat töröl.

7. A powercfg.exe parancs segítségével meggátolja, hogy a számítógép alvó állapotba kerüljön.

8. Eltávolítja az árnyékmásolatokat.

9. E-mailben továbbítja a számítógép nevét és IP címét.

10. Fájlokat titkosít.

11. A titkosított fájlok kiterjesztését egy “.just” kifejezéssel egészíti ki.

12. Minden olyan könyvtárba, ahol fájlt titkosít, bemásol egy MESSAGE.txt nevű állományt.

Megoldás

Az elkódolt állományok visszaállítása biztonsági mentésekből lehetséges.

Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE).

Támadás típusa

Crypthographical (Titkosítás)
Hijacking (Visszaélés)
Ransomware

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2026-20805 – Microsoft Windows Information Disclosure sérülékenység
CVE-2025-54987 – Trend Micro Apex One (on-premise) management console sérülékenysége
CVE-2025-69260 – Trend Micro Apex Central Message Out-of-bounds Read DoS sérülékenysége
CVE-2025-69259 – Trend Micro Apex Central Message Unchecked NULL Return Value DoS sérülékenysége
CVE-2025-69258 – Trend Micro Apex Central LoadLibraryEX RCE sebezhetősége
CVE-2025-8110 – Gogs Path Traversal sérülékenysége
CVE-2025-48633 – Android Framework Information Disclosure sérülékenysége
CVE-2025-48572 – Android Framework Privilege Escalation sérülékenysége
CVE-2026-21877 – n8n Remote Code Execution via Arbitrary File Write sérülékenység
CVE-2025-68668 – n8n Arbitrary Command Execution sérülékenység
Tovább a sérülékenységekhez »