Cryptolocker.AC trójai


2016. január 6. 10:00

CH azonosító

CH-12906

Angol cím

Cryptolocker.AC trojan

Felfedezés dátuma

2016.01.04.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows NT, Windows Vista, Windows XP

Összefoglaló

A Cryptolocker.AC egy olyan trójai, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás

Mikor aktiválódik létrehozza az alábbi állományokat:

  • %SystemDrive%Documents and SettingsAll UsersDesktopDECRYPT FILES.txt
  • %SystemDrive%Documents and SettingsAll UsersDesktopGET MY FILES.txt
  • %SystemDrive%Documents and SettingsAll UsersDesktopREAD NOW.txt
  • %SystemDrive%Documents and SettingsAll UsersDesktopread this file.txt
  • %SystemDrive%Documents and SettingsAll UsersDesktopREAD.txt
  • %SystemDrive%Documents and SettingsAll UsersDesktopREADME!!!.txt
  • %SystemDrive%Documents and SettingsAll UsersDesktopreadme.txt
  • %Temp%crjoker.html
  • %Temp%drvpci.exe
  • %Temp%GetYouFiles.txt
  • %Temp%imgdesktop.exe
  • %Temp%new.bat
  • %Temp%README!!!.txt
  • %Temp%windefrag.exe
  • %Temp%windrv.exe
  • %Temp%winpnp.exe

A kártevő létrehozza az alábbi regisztrációs kulcsokat, így automatikusan indul:

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”winpnp” = “%Temp%winpnp.exe”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”drvpci” = “%Temp%drvpci.exe”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”windefrag” = “%Temp%windefrag.exe”

Adatokat küld a fertőzött számítógépről alábbi kiszolgálóhoz:  [http://]daapv.de/wp-content/plugins/libravatar-replace/statis[REMOVED]

majd törli az összes árnyékmásolatot a számítógépről.

Létrehozza az alábbi folyamatokat:

  • taskmgr
  • regedit

Az alábbi kiterjesztésű állományokat titkosítja:

  • .asp
  • .aspx
  • .csv
  • .db
  • .doc
  • .docm
  • .docx
  • .html
  • .java
  • .jpeg
  • .jpg
  • .mdb
  • .odt
  • .pdf
  • .php
  • .png
  • .ppt
  • .pptm
  • .pptx

A titkosított állományok kiterjesztését megváltoztatja a .crjoker-re.

Végül követeli a felhasználótól, hogy vásárolja meg a visszafejtéshez szükséges kulcsot.

Megoldás

  • Használjon offline biztonsági mentést.
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool

Támadás típusa

Ransomware

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »