Crypbee.A trójai


2016. augusztus 16. 06:36

CH azonosító

CH-13495

Angol cím

Crypbee.A trojan

Felfedezés dátuma

2016.08.09.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Crypbee.A trójai káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás

A trójai rengeteg típusú fájlt képes használhatatlanná tenni azáltal, hogy azokat titkosítja. Egyebek mellett dokumentumokat, multimédiás állományokat, adatbázisokat, rajzokat, tömörített fájlokat, forráskódokat is kompromittál. Ezt követően pedig váltságdíjat követel, amit Bitcoinok segítségével lehet kifizetni.

A Crypbee.A a felhasználó átmeneti állományok tárolására szolgáló, Temp mappájába másolja be a fájljait. A titkosítást követően az érintett mappákba elhelyez egy-egy szöveges fájlt, amely a követeléseket tartalmazza. Emellett a Windows Asztalának háttérképét is megváltoztatja. A károkozó ügyel arra, hogy a Windows, valamint a Chrome és a Firefox böngészők működőképesek maradjanak, hogy az esetleges fizetés útjába ne álljanak technikai akadályok.

 

Technikai részletek:

  1. Létrehozza a következő állományokat:
  • %User Temp%taskhost.exe
  • %User Temp%status.z
  • %User Temp%status2.z
  • %User Temp%k.z
  • %User Temp%rtext.txt
  • %User Temp%fnames.txt
  • %Desktop%DECRYPTION INSTRUCTIONS.txt

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunBEECrypt = “%User Temp%taskhost.exe”

3. Megváltoztatja az Asztal háttérképét.

4. Kapcsolódik egy távoli kiszolgálóhoz, és egy weboldalon keresztül adatokat küld, illetve fogad.

5. Egy kiterjesztéslista alapján fájlokat titkosít. Kivételt tesz azokkal az állományokkal, amelyek az alábbi mappákban találhatók:

  • UsersAll Users
  • $Recycle.Bin
  • Program Files (x86)\Google\Chrome
  • Program Files (x86)\Mozilla Firefox
  • Program Files\Google\Chrome
  • Program Files\Mozilla Firefox

6. A kompromittált állományok fájlnevéhez a .crypt kiterjesztést fűzi hozzá.

7. Minden olyan mappába, amelyben legalább egy fájlt titkosított, bemásol egy szöveges fájlt a követeléseivel.

Megoldás

Használjon offline biztonsági mentést.

Támadás típusa

Ransomware
Trójai

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.trendmicro.com

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »