Összefoglaló
A Microsoft hívta fel a figyelmet egy új zsaroló vírusra, amely a férgekhez hasonlóan cserélhető adathordozókon keresztül is képes terjedni.
Leírás
A Win32/ZCryptor.A zsaroló kártevő amellett, hogy kéretlen levelek fertőzött csatolmányaként (jellemzően Office makró) vagy Adobe Flash tartalomnak álcázva fertőz, át is másolja magát minden csatlakoztatott adathordozóra.
A fertőzés után első dolga gondoskodni róla, hogy a rendszer indulásakor automatikusan ő is betöltődjön.
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
- zcrypt = {path of the executed malware}
Illetve elhelyez egy autorun file-t a fertőzött adathordozóra is:
- %User Startup%zcrypt.lnk
Az alábbi fájlokat titkosítja, amelyek kiterjesztését .zcrypt-re változtatja:
.accdb .dwg .odb .raf
.apk .dxg .odp .raw
.arw .emlx .ods .rtf
.aspx.eps .odt .rw2
.avi .erf .orf .rwl
.bak .gz .p12 .sav
.bay .html .p7b .sql
.bmp .indd .p7c .srf
.cdr .jar .pdb .srw
.cer .java .pdd .swf
.cgi .jpeg .pdf .tar
.class .jpg .pef .tar
.cpp .jsp .pem .txt
.cr2 .kdc .pfx .vcf
.crt .log .php .wb2
.crw .mdb .png .wmv
.dbf .mdf .ppt .wpd
.dcr .mef .pptx .xls
.der .mp4 .psd .xlsx
.dng .mpeg .pst .xml
.doc .msg .ptx .zip
.docx .nrw .r3d .3fr
Mutex: zcrypt1.0
További fájlok, amiket létrehoz:
- C:Users[UserName]AppDataRoamingzcrypt.exe
- C:Users[UserName]AppDataRoamingbtc.addr
- C:Users[UserName]AppDataRoamingpublic.key
Valamint megjelenít egy zsaroló üzenetet egy HTML fájlban (“How to decrypt files.html“).
Megoldás
- Használjon offline biztonsági mentést.
- Naprakész operációs rendszer és vírusirtó használata.
- Naprakész Windows Defender használata.
- Microsoft Active Protection Service szolgáltatás használata.
- Ügyeljen a nem megbízható forrásból származó e-mailekre.
- Tiltsa a makrókat.
- Tiltsa a távoli asztal elérés funkciót.
- Fájlelőzmények szolgáltatás használata.
Hivatkozások
Egyéb referencia: blogs.technet.microsoft.com