Cryptolocker.B trójai


2013. december 24. 13:00

CH azonosító

CH-10235

Angol cím

Trojan.Cryptolocker.B

Felfedezés dátuma

2013.12.22.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 7

Érintett verziók

Windows 2000
Windows 7
Windows 95
Windows 98
Windows Me
Windows NT
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

Összefoglaló

A Cryptolocker.B egy olyan trójai, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja neki eladni a titkosítás feloldásához szükséges jelszót.

Leírás

A trójai a futattatása után a következő helyre másolja magát: %System%msunet.exe.

A vírus a következő bejegyzéseket hozza létre annak érdekében, hogy a Windows minden indításánál futhasson:

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”MSUpdate” = “%System%msunet.exe”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce”*MSUpdate” = “%System%msunet.exe”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”MSUpdate” = “%system%msunet.exe”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce”*MSUpdate” = “%System%msunet.exe”

A vírus a következő bejegyzéseket módosítja:

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”Userinit” = “%System%userinit.exe,,%System%msunet.exe”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon”Userinit” = “%System%userinit.exe,,%System%msunet.exe”

A vírus zárolja az asztalt, titkosítja a fájlokat, majd megjeleníti a “váltságdíj” fizetésének részleteit.

A következő kiterjesztésű fájlokat titkosítja a vírus:

  • accdb
  • ai
  • arw
  • bay
  • cdr
  • cer
  • cr2
  • crt
  • crw
  • dbf
  • dcr
  • der
  • dng
  • doc
  • docm
  • docx
  • dwg
  • dxf
  • dxg
  • eps
  • erf
  • indd
  • jpe
  • jpg
  • kdc
  • mdb
  • mdf
  • mef
  • mp3
  • mp4
  • mrw
  • nef
  • nrw
  • odb
  • odm
  • odp
  • ods
  • odt
  • orf
  • p12
  • p7b
  • p7c
  • pdd
  • pef
  • pem
  • pfx
  • ppt
  • pptm
  • pptx
  • psd
  • pst
  • ptx
  • r3d
  • raf
  • raw
  • rtf
  • rwl
  • srf
  • srw
  • txt
  • wb2
  • wpd
  • wps
  • xlk
  • xls
  • xlsb
  • xlsm
  • xlsx

A trójai az előzőeken túl alábbi műveleteket hajthatja végre:

  • kereshet fájlokat, mappákat
  • fel- és letölthet fájlokat
  • befejezhet folyamatokat

Ezután a vírus megróbál kapcsolódni a http://strathmorej.byethost3.com/dd/testcon.php távoli helyhez.

 

Megoldás

Használjon tűzfalat és vírusírtót vagy frissítse azokat.

Támadás típusa

Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-20358 – Cisco ASA és FTD sérülékenysége
CVE-2024-20359 – Cisco ASA és FTD sérülékenysége
CVE-2024-20353 – Cisco ASA és FTD sérülékenysége
CVE-2024-31857 – WordPress Forminator plugin sérülékenysége
CVE-2024-31077 – WordPress Forminator plugin sérülékenysége
CVE-2024-28890 – WordPress Forminator plugin sérülékenysége
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
Tovább a sérülékenységekhez »