Cryptolocker.R trójai


2015. május 6. 10:26

CH azonosító

CH-12210

Angol cím

Trojan.Cryptolocker.R

Felfedezés dátuma

2015.05.05.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Cryptolocker trójai legújabb, “R”-betűjelű variánsa nagyon gondosan ügyel arra, hogy olyan számítógépet ne fertőzzön meg, amely a leleplezését, vizsgálatát szolgálhatja. Ennek megfelelően alaposan ellenőrzi, hogy az adott rendszer nem virtualizált-e, illetve nem sandbox környezetben fut. Amennyiben azt érzékeli, hogy nem megfelelő számára a számítógép, akkor rögtön leáll. Ellenkező esetben pedig nekilát a feladatainak elvégzéséhez.

A Cryptolocker.R minden dokumentumot, képet, multimédiás állományt, adatbázist, levelezéssel kapcsolatos adatállományt, CAD-rajzot titkosít. Ezt követően minden olyan könyvtárba, amelyben kompromittált fájlokat, egy szöveges állományt helyez el. Ezt megnyitva a felhasználó értesülhet arról, hogy mi történt a számítógépével, és miért is nem tudja használni az állományait.

A megfelelő védekezéshez ezúttal is elengedhetetlen a biztonsági mentések rendszeres készítése és a megfelelő tárolása.

Leírás

1. Ellenőrzi, hogy léteznek-e a következő folyamatok:
wireshark.exe
idaq.exe
idag.exe
ollydbg.exe
idag64.exe
pexplorer.exe
lordpe.exe
hiew32.exe
bindiff.exe
procexp.exe

2. Ellenőrzi, hogy a számítógép virtuális környezetben fut-e.

3. Ellenőrzi a számítógép nevét.

4. Amennyiben virtuális gépre vagy sandbox környezetre utaló jeleket észlel, akkor azonnal leáll.

5. Kapcsolódik egy távoli kiszolgálóhoz.

6. Egy batch állomány segítségével .exe kiterjesztésű fájlokat töröl.

7. A powercfg.exe parancs segítségével meggátolja, hogy a számítógép alvó állapotba kerüljön.

8. Eltávolítja az árnyékmásolatokat.

9. E-mailben továbbítja a számítógép nevét és IP címét.

10. Fájlokat titkosít.

11. A titkosított fájlok kiterjesztését egy “.just” kifejezéssel egészíti ki.

12. Minden olyan könyvtárba, ahol fájlt titkosít, bemásol egy MESSAGE.txt nevű állományt.

Megoldás

Az elkódolt állományok visszaállítása biztonsági mentésekből lehetséges.

Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE).

Támadás típusa

Crypthographical (Titkosítás)
Hijacking (Visszaélés)
Ransomware

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »