Cryptolocker.S trójai


2015. május 12. 08:36

CH azonosító

CH-12224

Angol cím

Trojan.Cryptolocker.S

Felfedezés dátuma

2015.05.11.

Súlyosság

Közepes

Érintett rendszerek

Windows

Érintett verziók

Windows

Összefoglaló

Cryptolocker trójai legújabb, “S”-betűjelű variánsa jelent meg. 

Zip tömörített állományokon keresztül terjed, amelyekben ‘PENALTY.VBS’ nevű fertőzött file található. 

Leírás

A trójai futáskor a következő webhelyről letölt egy file-t:[http://]www.dhl.sk.origin.dhl.com/content/dam/downloads/sk/logistics/Shipping%20conditions% 20DHL%20Eu[REMOVED]

Lementi azt: [PATH TO MALWARE]penalty.pdf

Létrehozza az alábbi állományokat:

  • %SystemDrive%1locked.bmp
  • %SystemDrive%Documents and SettingsAll UsersDesktopqwer.html
  • %SystemDrive%Documents and SettingsAll UsersDesktopqwer2.html
  • %SystemDrive%Documents and SettingsAll UsersDesktop
  • seckeys.DONOTDELETE
  • %SystemDrive%Documents and SettingsAll UsersDesktopcustomer.id
  • %SystemDrive%Documents and SettingsAll UsersDesktopencrypted.htm
  • %SystemDrive%Documents and SettingsAll UsersDesktopdecrypted.htm
  • %SystemDrive%1reflect.dll
  • %SystemDrive%1t.dll

A következő lépésben módosít egy registry bejegyzést: HKEY_CURRENT_USERControl PanelDesktop”WallpaperStyle” = “0”

Majd kapcsolódik egy távoli helyre, ahonnan PowerShell kódot fog letölteni:[http://]193.230.220.38/wall/Invoke-Reflectiv[REMOVED]

Ezután a %SystemDrive%1reflect.dll-t beszúrja az Explorer processbe, hogy futtassa a %SystemDrive%1t.dll-t, ami a következő lépéseket hajtja végre:

  • Töröl minden árnyékmásolatot.
  • Az érintett szoftvereken letiltja a Startup Repair funkciót és a hibaüzeneteket.
  • Letiltja a rendszerhelyreállítást.

Titkosítja a következő kiterjesztésű fileokat:

  • .ai
  • .crt
  • .csv
  • .db
  • .doc
  • .docm
  • .docx
  • .dotx
  • .gif
  • .jpeg
  • .jpg
  • .jpg
  • .lnk
  • .mp3
  • .msi
  • .ods
  • .one
  • .ost
  • .p12
  • .pdf
  • .pem
  • .pps
  • .ppsx
  • .ppt
  • .pptx
  • .psd
  • .pst
  • .pub
  • .rar
  • .raw
  • .rtf
  • .tif
  • .txt
  • .vsdx
  • .wma
  • .xls
  • .xlsm
  • .xlsx
  • .xml
  • .zip

A trójai ezután a következő webhelyhez kapcsolódik rejtett IE ablakban, abból a célból, hogy háttérzenét játszon le: [https://]www.youtube.com/wa[REMOVED]

Mindezek után megjelenik egy figyelmeztető üzenet, amelyben a fájlok visszakódolását pénz (bitcoin rendszeren kersztül) átutalásához köti. 

Megoldás

Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool

Támadás típusa

Crypthographical (Titkosítás)
Hijacking (Visszaélés)
Manipulation of data
Ransomware
execute arbitrary code

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com
Egyéb referencia: security.symantec.com
Egyéb referencia: security.symantec.com

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-7656 – Google Chrome sérülékenysége
CVE-2025-6541 – TP-Link sérülékenysége
CVE-2025-61884 – Oracle E-Business Suite Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2025-2747 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2025-2746 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2022-48503 – Apple Multiple Products Unspecified sérülékenysége
CVE-2025-61932 – Motex LANSCOPE Endpoint Manager sérülékenysége
CVE-2025-54957 – Dolby UDC out-of-bounds write sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
Tovább a sérülékenységekhez »