Cryptolocker.B trójai


2013. december 24. 13:00

CH azonosító

CH-10235

Angol cím

Trojan.Cryptolocker.B

Felfedezés dátuma

2013.12.22.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 7

Érintett verziók

Windows 2000
Windows 7
Windows 95
Windows 98
Windows Me
Windows NT
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

Összefoglaló

A Cryptolocker.B egy olyan trójai, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja neki eladni a titkosítás feloldásához szükséges jelszót.

Leírás

A trójai a futattatása után a következő helyre másolja magát: %System%msunet.exe.

A vírus a következő bejegyzéseket hozza létre annak érdekében, hogy a Windows minden indításánál futhasson:

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”MSUpdate” = “%System%msunet.exe”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce”*MSUpdate” = “%System%msunet.exe”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”MSUpdate” = “%system%msunet.exe”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce”*MSUpdate” = “%System%msunet.exe”

A vírus a következő bejegyzéseket módosítja:

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”Userinit” = “%System%userinit.exe,,%System%msunet.exe”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon”Userinit” = “%System%userinit.exe,,%System%msunet.exe”

A vírus zárolja az asztalt, titkosítja a fájlokat, majd megjeleníti a “váltságdíj” fizetésének részleteit.

A következő kiterjesztésű fájlokat titkosítja a vírus:

  • accdb
  • ai
  • arw
  • bay
  • cdr
  • cer
  • cr2
  • crt
  • crw
  • dbf
  • dcr
  • der
  • dng
  • doc
  • docm
  • docx
  • dwg
  • dxf
  • dxg
  • eps
  • erf
  • indd
  • jpe
  • jpg
  • kdc
  • mdb
  • mdf
  • mef
  • mp3
  • mp4
  • mrw
  • nef
  • nrw
  • odb
  • odm
  • odp
  • ods
  • odt
  • orf
  • p12
  • p7b
  • p7c
  • pdd
  • pef
  • pem
  • pfx
  • ppt
  • pptm
  • pptx
  • psd
  • pst
  • ptx
  • r3d
  • raf
  • raw
  • rtf
  • rwl
  • srf
  • srw
  • txt
  • wb2
  • wpd
  • wps
  • xlk
  • xls
  • xlsb
  • xlsm
  • xlsx

A trójai az előzőeken túl alábbi műveleteket hajthatja végre:

  • kereshet fájlokat, mappákat
  • fel- és letölthet fájlokat
  • befejezhet folyamatokat

Ezután a vírus megróbál kapcsolódni a http://strathmorej.byethost3.com/dd/testcon.php távoli helyhez.

 

Megoldás

Használjon tűzfalat és vírusírtót vagy frissítse azokat.

Támadás típusa

Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »