Crypbee.A trójai


2016. augusztus 16. 06:36

CH azonosító

CH-13495

Angol cím

Crypbee.A trojan

Felfedezés dátuma

2016.08.09.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Crypbee.A trójai káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás

A trójai rengeteg típusú fájlt képes használhatatlanná tenni azáltal, hogy azokat titkosítja. Egyebek mellett dokumentumokat, multimédiás állományokat, adatbázisokat, rajzokat, tömörített fájlokat, forráskódokat is kompromittál. Ezt követően pedig váltságdíjat követel, amit Bitcoinok segítségével lehet kifizetni.

A Crypbee.A a felhasználó átmeneti állományok tárolására szolgáló, Temp mappájába másolja be a fájljait. A titkosítást követően az érintett mappákba elhelyez egy-egy szöveges fájlt, amely a követeléseket tartalmazza. Emellett a Windows Asztalának háttérképét is megváltoztatja. A károkozó ügyel arra, hogy a Windows, valamint a Chrome és a Firefox böngészők működőképesek maradjanak, hogy az esetleges fizetés útjába ne álljanak technikai akadályok.

 

Technikai részletek:

  1. Létrehozza a következő állományokat:
  • %User Temp%taskhost.exe
  • %User Temp%status.z
  • %User Temp%status2.z
  • %User Temp%k.z
  • %User Temp%rtext.txt
  • %User Temp%fnames.txt
  • %Desktop%DECRYPTION INSTRUCTIONS.txt

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunBEECrypt = “%User Temp%taskhost.exe”

3. Megváltoztatja az Asztal háttérképét.

4. Kapcsolódik egy távoli kiszolgálóhoz, és egy weboldalon keresztül adatokat küld, illetve fogad.

5. Egy kiterjesztéslista alapján fájlokat titkosít. Kivételt tesz azokkal az állományokkal, amelyek az alábbi mappákban találhatók:

  • UsersAll Users
  • $Recycle.Bin
  • Program Files (x86)\Google\Chrome
  • Program Files (x86)\Mozilla Firefox
  • Program Files\Google\Chrome
  • Program Files\Mozilla Firefox

6. A kompromittált állományok fájlnevéhez a .crypt kiterjesztést fűzi hozzá.

7. Minden olyan mappába, amelyben legalább egy fájlt titkosított, bemásol egy szöveges fájlt a követeléseivel.

Megoldás

Használjon offline biztonsági mentést.

Támadás típusa

Ransomware
Trójai

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.trendmicro.com

Legfrissebb sérülékenységek
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
CVE-2024-1874 – PHP sérülékenysége
CVE-2024-24576 – Rust sérülékenysége
CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége
CVE-2024-29988 – Microsoft Windows SmartScreen sérülékenysége
CVE-2024-26234 – Microsoft Windows proxy driver sérülékenysége
CVE-2023-6320 – LG webOS sérülékenysége
CVE-2023-6319 – LG webOS sérülékenysége
Tovább a sérülékenységekhez »