Összefoglaló
A Ransomcrypt.AY nevű, Windows operációs rendszereket támadó, zsaroló trójai káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.
Leírás
Mikor aktiválódik, létrehozza az alábbi állományokat:
- %UserProfile%How to decrypt your files.jpg
- %System%[THREAT FILE NAME].exe
- %UserProfile%Start MenuProgramsStartup[THREAT FILE NAME].exe
- %UserProfile%Start MenuProgramsStartupHow to decrypt your files.jpg
- %UserProfile%Start MenuProgramsStartupHow to decrypt your files.txt
Létrehozza az alábbi regisztrációs bejegyzést:
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”[RANDOM CHARACTERS]” = “%System%[THREAT FILE NAME].exe”
Csatlakozik az alábbi kiszolgálók valamelyikéhez:
- jfheubdh.cc
- kurvilkazz.ru
- rrpproxy.net
- dd24.net
- key-systems.net
- keydrive.lu
- avtomoika234.cc
- tuginsaat.com
Ezek után – a system fájlok kivételével – titkosítja a számítógépen található fájlokat.
Minden titkosított fájl az alábbi séma alapján kerül átnevezésre: .id-[EIGHT DIGIT NUMBER].[EMAIL ADDRESS].xtbl
A trójai ezek után megváltoztatja a háttérképet és egy, a titkosítás visszafejtéséhez szükséges leírást mutat meg.
Az alábbi fájl is tartalmazza az üzenetet: %UserProfile%Start MenuProgramsStartupHow to decrypt your files.txt
Végül a trójai elküldi az alábbi információkat egy szerverre:
- Trójai ID
- Fertőzött számítógép ID
- Hosztnév
- A trójai által használt e-mail cím
- A titkosított dokumentumok, képek, adatbázisok száma
- A titkosított állományok száma összesen
Hivatkozások
Egyéb referencia: www.symantec.com