Ransomcrypt.T trójai


2015. június 5. 06:47

CH azonosító

CH-12307

Angol cím

Trojan.Ransomcrypt.T

Felfedezés dátuma

2015.06.03.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Ransomcrypt.T egy trójai, ami titkosítja a fertőzött számítógép fájljait, majd a visszafejtésükhöz váltságdíjat kér.

Leírás

Mikor aktiválódik, létrehozza az alábbi fájlokat:

  • %Windir%csrss.exe
  • %Temp%lock
  • %Temp%state
  • %UserProfile%Application Data[RANDOM CHARACTERS].bmp

Ezek után létrehozza az alábbi regisztrációs adatbázis bejegyzést annak érdekében, hogy automatikusan indulhasson:

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Client Server Runtime Subsystem” = “%Windir%csrss.exe”

Csatlakozni próbál az alábbi kiszolgálókhoz.

  • [http://]gxyvmhc55s4fss2q.onion/reg[REMOVED]
  • [http://]gxyvmhc55s4fss2q.onion/prog[REMOVED]
  • [http://]gxyvmhc55s4fss2q.onion/err[REMOVED]
  • [http://]gxyvmhc55s4fss2q.onion/cmd[REMOVED]
  • [http://]gxyvmhc55s4fss2q.onion/sys[REMOVED]

A trójai keresést indít a nem hordozható, hordozható és hálózati tárolókon majd titkosítja az alábbi kiterjesztésű fájlokat:

  • .1cd
  • .3ds
  • .3fr
  • .3g2
  • .3gp
  • .7z
  • .accda
  • .accdb
  • .accdc
  • .accde
  • .accdt
  • .accdw
  • .adb
  • .adp
  • .ai
  • .ai3
  • .ai4
  • .ai5
  • .ai6
  • .ai7
  • .ai8
  • .anim
  • .arw
  • .as
  • .asa
  • .asc
  • .ascx
  • .asm
  • .asmx
  • .asp
  • .aspx
  • .asr
  • .asx
  • .avi
  • .avs
  • .backup
  • .bak
  • .bay
  • .bd
  • .bin
  • .bmp
  • .bz2
  • .c
  • .cdr
  • .cer
  • .cf
  • .cfc
  • .cfm
  • .cfml
  • .cfu
  • .chm
  • .cin
  • .class
  • .clx
  • .config
  • .cpp
  • .cr2
  • .crt
  • .crw
  • .cs
  • .css
  • .csv
  • .cub
  • .dae
  • .dat
  • .db
  • .dbf
  • .dbx
  • .dc3
  • .dcm
  • .dcr
  • .der
  • .dib
  • .dic
  • .dif
  • .divx
  • .djvu
  • .dng
  • .doc
  • .docm
  • .docx
  • .dot
  • .dotm
  • .dotx
  • .dpx
  • .dqy
  • .dsn
  • .dt
  • .dtd
  • .dwg
  • .dwt
  • .dx
  • .dxf
  • .edml
  • .efd
  • .elf
  • .emf
  • .emz
  • .epf
  • .eps
  • .epsf
  • .epsp
  • .erf
  • .exr
  • .f4v
  • .fido
  • .flm
  • .flv
  • .frm
  • .fxg
  • .geo
  • .gif
  • .grs
  • .gz
  • .h
  • .hdr
  • .hpp
  • .hta
  • .htc
  • .htm
  • .html
  • .icb
  • .ics
  • .iff
  • .inc
  • .indd
  • .ini
  • .iqy
  • .j2c
  • .j2k
  • .java
  • .jp2
  • .jpc
  • .jpe
  • .jpeg
  • .jpf
  • .jpg
  • .jpx
  • .js
  • .jsf
  • .json
  • .jsp
  • .kdc
  • .kmz
  • .kwm
  • .lasso
  • .lbi
  • .lgf
  • .lgp
  • .log
  • .m1v
  • .m4a
  • .m4v
  • .max
  • .md
  • .mda
  • .mdb
  • .mde
  • .mdf
  • .mdw
  • .mef
  • .mft
  • .mfw
  • .mht
  • .mhtml
  • .mka
  • .mkidx
  • .mkv
  • .mos
  • .mov
  • .mp3
  • .mp4
  • .mpeg
  • .mpg
  • .mpv
  • .mrw
  • .msg
  • .mxl
  • .myd
  • .myi
  • .nef
  • .nrw
  • .obj
  • .odb
  • .odc
  • .odm
  • .odp
  • .ods
  • .oft
  • .one
  • .onepkg
  • .onetoc2
  • .opt
  • .oqy
  • .orf
  • .p12
  • .p7b
  • .p7c
  • .pam
  • .pbm
  • .pct
  • .pcx
  • .pdd
  • .pdf
  • .pdp
  • .pef
  • .pem
  • .pff
  • .pfm
  • .pfx
  • .pgm
  • .php
  • .php3
  • .php4
  • .php5
  • .phtml
  • .pict
  • .pl
  • .pls
  • .pm
  • .png
  • .pnm
  • .pot
  • .potm
  • .potx
  • .ppa
  • .ppam
  • .ppm
  • .pps
  • .ppsm
  • .ppt
  • .pptm
  • .pptx
  • .prn
  • .ps
  • .psb
  • .psd
  • .pst
  • .ptx
  • .pub
  • .pwm
  • .pxr
  • .py
  • .qt
  • .r3d
  • .raf
  • .rar
  • .raw
  • .rdf
  • .rgbe
  • .rle
  • .rqy
  • .rss
  • .rtf
  • .rw2
  • .rwl
  • .safe
  • .sct
  • .sdpx
  • .shtm
  • .shtml
  • .slk
  • .sln
  • .sql
  • .sr2
  • .srf
  • .srw
  • .ssi
  • .st
  • .stm
  • .svg
  • .svgz
  • .swf
  • .tab
  • .tar
  • .tbb
  • .tbi
  • .tbk
  • .tdi
  • .tga
  • .thmx
  • .tif
  • .tiff
  • .tld
  • .torrent
  • .tpl
  • .txt
  • .u3d
  • .udl
  • .uxdc
  • .vb
  • .vbs
  • .vcs
  • .vda
  • .vdr
  • .vdw
  • .vdx
  • .vrp
  • .vsd
  • .vss
  • .vst
  • .vsw
  • .vsx
  • .vtm
  • .vtml
  • .vtx
  • .wb2
  • .wav
  • .wbm
  • .wbmp
  • .wim
  • .wmf
  • .wml
  • .wmv
  • .wpd
  • .wps
  • .x3f
  • .xl
  • .xla
  • .xlam
  • .xlk
  • .xlm
  • .xls
  • .xlsb
  • .xlsm
  • .xlsx
  • .xlt
  • .xltm
  • .xltx
  • .xlw
  • .xml
  • .xps
  • .xsd
  • .xsf
  • .xsl
  • .xslt
  • .xsn
  • .xtp
  • .xtp2
  • .xyze
  • .xz
  • .zip

A titkosított fájlok .xtbl kiterjesztést kapnak.

Az alábbi fájlt másolja minden olyan mappába, amiben van titkosított állomány.

  • [PATH TO ENCRYPTED FILES]README[RANDOM NUMBER].txt

A trójai megváltoztatja a háttérképet mely egy orosz és angol nyelvű feliratot tartalmaz. A szöveg tájékoztatja a felhasználót arról, hogy az állományai titkosítottak, és kéri hogy a [PATH TO ENCRYPTED FILES]README[RANDOM NUMBER].txt fájlt nyissa meg a felhasználó a további információk érdekében.

Megoldás

Készítsen offline biztonsági mentést.

Használjon naprakész vírusírtó szoftvert

Támadás típusa

Crypthographical (Titkosítás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-33073 – Windows SMB Client Elevation of Privilege sérülékenysége
CVE-2025-2254 – GitLab CE/EE sérülékenysége
CVE-2022-30190 – Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution sérülékenysége
CVE-2025-24016 – Wazuh Server Deserialization of Untrusted Data sérülékenysége
CVE-2025-33053 – Web Distributed Authoring and Versioning (WebDAV) External Control of File Name or Path sérülékenysége
CVE-2025-32433 – Erlang Erlang/OTP SSH Server Missing Authentication for Critical Function sérülékenysége
CVE-2024-42009 – RoundCube Webmail Cross-Site Scripting sérülékenysége
CVE-2025-21479 – Qualcomm Multiple Chipsets Incorrect Authorization sérülékenysége
CVE-2025-5419 – Google Chromium V8 Out-of-Bounds Read and Write sérülékenysége
Tovább a sérülékenységekhez »