Összefoglaló
A Ransomcrypt.AT nevű, Windows operációs rendszereket támadó, trójai típusú káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.
Leírás
Mikor aktiválódik a káros kód, titkosítja az alábbi kiterjesztésű állományokat:
- .exe
- .777
- .dll
- .msi
A kártevő nem titkosítja az alábbi helyen található állományokat:
- %Windir%
- %ProgramFiles%
A trójai az alábbi karakterlánccal látja el a titkosított fájlokat: ._[DAY-MONTH-YEAR-HOUR-MINUTE-SECOND]_$[EMAIL ADDRESS]$.777
Megpróbálja megszerezni a fertőzött számítógép IP címét, és elküldi a [http://]tuginsaat.com/wp-content/themes/twentythirteen/stat[REMOVED] címre.
Létrehozza az alábbi fájlt: %UserProfile%Desktopread_this_file.txt
Létrehozza az alábbi fájlt és erre változtatja a háttérképet: %Temp%tmp.bmp
Végül egy a titkosítás visszafejtéséhez szükséges leírást mutat meg.
A fájlok visszaállításához egy e-mailt kell küldeni az alábbi címekre:
- ninja.gaiver@aol[.]com
- kaligula.caesar@aol.[]com
- seven_legion@india[.]com
Hivatkozások
Egyéb referencia: www.symantec.com