Cryptolocker.R trójai


2015. május 6. 10:26

CH azonosító

CH-12210

Angol cím

Trojan.Cryptolocker.R

Felfedezés dátuma

2015.05.05.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Cryptolocker trójai legújabb, “R”-betűjelű variánsa nagyon gondosan ügyel arra, hogy olyan számítógépet ne fertőzzön meg, amely a leleplezését, vizsgálatát szolgálhatja. Ennek megfelelően alaposan ellenőrzi, hogy az adott rendszer nem virtualizált-e, illetve nem sandbox környezetben fut. Amennyiben azt érzékeli, hogy nem megfelelő számára a számítógép, akkor rögtön leáll. Ellenkező esetben pedig nekilát a feladatainak elvégzéséhez.

A Cryptolocker.R minden dokumentumot, képet, multimédiás állományt, adatbázist, levelezéssel kapcsolatos adatállományt, CAD-rajzot titkosít. Ezt követően minden olyan könyvtárba, amelyben kompromittált fájlokat, egy szöveges állományt helyez el. Ezt megnyitva a felhasználó értesülhet arról, hogy mi történt a számítógépével, és miért is nem tudja használni az állományait.

A megfelelő védekezéshez ezúttal is elengedhetetlen a biztonsági mentések rendszeres készítése és a megfelelő tárolása.

Leírás

1. Ellenőrzi, hogy léteznek-e a következő folyamatok:
wireshark.exe
idaq.exe
idag.exe
ollydbg.exe
idag64.exe
pexplorer.exe
lordpe.exe
hiew32.exe
bindiff.exe
procexp.exe

2. Ellenőrzi, hogy a számítógép virtuális környezetben fut-e.

3. Ellenőrzi a számítógép nevét.

4. Amennyiben virtuális gépre vagy sandbox környezetre utaló jeleket észlel, akkor azonnal leáll.

5. Kapcsolódik egy távoli kiszolgálóhoz.

6. Egy batch állomány segítségével .exe kiterjesztésű fájlokat töröl.

7. A powercfg.exe parancs segítségével meggátolja, hogy a számítógép alvó állapotba kerüljön.

8. Eltávolítja az árnyékmásolatokat.

9. E-mailben továbbítja a számítógép nevét és IP címét.

10. Fájlokat titkosít.

11. A titkosított fájlok kiterjesztését egy “.just” kifejezéssel egészíti ki.

12. Minden olyan könyvtárba, ahol fájlt titkosít, bemásol egy MESSAGE.txt nevű állományt.

Megoldás

Az elkódolt állományok visszaállítása biztonsági mentésekből lehetséges.

Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE).

Támadás típusa

Crypthographical (Titkosítás)
Hijacking (Visszaélés)
Ransomware

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-33073 – Windows SMB Client Elevation of Privilege sérülékenysége
CVE-2025-2254 – GitLab CE/EE sérülékenysége
CVE-2022-30190 – Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution sérülékenysége
CVE-2025-24016 – Wazuh Server Deserialization of Untrusted Data sérülékenysége
CVE-2025-33053 – Web Distributed Authoring and Versioning (WebDAV) External Control of File Name or Path sérülékenysége
CVE-2025-32433 – Erlang Erlang/OTP SSH Server Missing Authentication for Critical Function sérülékenysége
CVE-2024-42009 – RoundCube Webmail Cross-Site Scripting sérülékenysége
CVE-2025-21479 – Qualcomm Multiple Chipsets Incorrect Authorization sérülékenysége
CVE-2025-5419 – Google Chromium V8 Out-of-Bounds Read and Write sérülékenysége
Tovább a sérülékenységekhez »