Összefoglaló
A Cryptolocker.AE egy olyan trójai, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.
Leírás
Mikor aktiválódik létrehozza az alábbi állományt:
%UserProfile%Application DataChromeSetings3264[RANDOM CHARACTERS].exe
A kártevő létrehozza az alábbi regisztrációs kulcsokat, így automatikusan indul:
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Microsoft Internet Explorer Update” = [THREAT LOCATION]
- HKEY_CURRENT_USERSoftwareMicrosoftWindows”ChromeStarts3264″ = “%UserProfile%Application DataChromeSetings3264[RANDOM CHARACTERS].exe”
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”ChromeSettingsStart3264″ = “%UserProfile%Application DataChromeSetings3264[RANDOM CHARACTERS].exe”
Létrehozza az alábbi regisztrációs bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftWindows”MicrosoftUpd32″ = [HEXADECIMAL VALUE]
Az alábbi kiterjesztésű állományokat titkosítja:
- .st6
- .st7
- .st8
- .stc
- .std
- .sti
- .stw
- .stx
- .svg
- .swf
- .sxc
- .sxd
- .sxg
- .sxi
- .sxm
- .sxw
- .tex
- .tga
- .thm
- .txt
- .vob
- .vsd
- .vsx
- .vtx
- .wav
- .wb2
- .wdb
- .wll
- .wmv
- .wpd
- .wps
- .x11
- .x3f
- .xla
- .xlam
- .xlb
- .xlc
- .xll
- .xlm
- .xlr
- .xls
- .xlsb
- .xlsm
- .xlsx
- .xlt
- .xltm
- .xltx
- .m4a
- .wma
- .d3dbsp
- .xlw
- .xpp
- .xsn
- .yuv
- .zip
- .zip
- .sie
- .unrec
- .scan
- .sum
- .t13
- .t12
- .qdf
- .tax
- .pkpass
- .bc6
- .bc7
- .sidn
- .sidd
- .mddata
- .itl
- .itdb
- .icxs
- .hvpl
- .hplg
- .hkdb
- .mdbackup
- .syncdb
- .gho
- .cas
- .map
- .wmo
- .itm
- .sb
- .fos
- .mov
- .vdf
- .ztmp
- .sis
- .sid
- .ncf
- .menu
- .layout
- .dmp
- .blob
- .esm
- .vcf
- .vtf
- .dazip
- .fpk
- .mlx
- .kf
- .iwd
- .vpk
- .tor
- .psk
- .rim
- .w3x
- .fsh
- .ntl
- .arch00
- .lvl
- .snx
- .cfr
- .ff
- .vpp_pc
- .lrf
- .m2
- .mcmeta
- .vfs0
- .mpqge
- .kdb
- .db0
- .dba
- .rofl
- .hkx
- .bar
- .upk
- .das
- .iwi
- .litemod
- .asset
- .forge
- .ltx
- .bsa
- .apk
- .re4
- .lbf
- .slm
- .epk
- .rgss3a
- .pak
- .big
- .wallet
- .wotreplay
- .xxx
- .desc
- .m3u
- .js
- .css
- .rb
- .png
- .rw2
- .rwl
- .mrwref
- .3fr
- .xf
- .pst
- .dx
- .tiff
- .bd
- .tar
- .gz
- .mkv
- .bmp
- .dot
- .xml
- .xmlx
- .dat
- .html
- .gif
- .mcl
- .ini
- .mte
- .cfg
- .mp3
- .qbi
- .qbr
- .cnt
- .v30
- .qbo
- .lgb
- .qwc
- .qbp
- .aif
- .qby
- .1pa
- .qpd
- .set
- .nd
- .rtp
- .qbwin
- .log
- .qbbackup
- .tmp
- .temp1234
- .qbt
- .qbsdk
- .syncmanagerlogger
- .ecml
- .qsm
- .qss
- .qst
- .fx0
- .fx1
- .mx0
- .fpx
- .fxr
- .fim
A titkosított állományok kiterjesztését megváltoztatja az alábbiak szerint:
- .umbrecrypttmp_ID_[RANDON NUMBER]
- .hydracrypt_ID_[RANDOM NUMBER]
Minden olyan helyen ahol titkosított állomány keletkezik létrehozza az alábbi fájlokat:
- README_DECRYPT_UMBRE_ID_[RANDOM CHARACTERS].txt
- README_DECRYPT_UMBRE_ID_[RANDOM CHARACTERS].jpg
- README_DECRYPT_HYDRA_ID_[RANDOM CHARACTERS].txt
- README_DECRYPT_HYDRA_ID_[RANDOM CHARACTERS].jpg
Létrehozza az alábbi mutexet: HGFYThjgyhftyFYFGYHJGJIGFgyftgDF
Csatlakozik az alábbi távoli kiszolgálókhoz:
- [http://]drivers-softprotect.eu/img[REMOVED]
- [http://]drivers-softprotect.eu/flamm[REMOVED]
- [http://]testcryp.eu/googd[REMOVED]
- [http://]testcryp.eu/img[REMOVED]
Megoldás
- Használjon offline biztonsági mentést.
- Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool
Támadás típusa
RansomwareHatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com