Cryptolocker.Z trójai


2015. augusztus 25. 08:31

CH azonosító

CH-12549

Angol cím

Trojan.Cryptolocker.Z

Felfedezés dátuma

2015.08.17.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 7, Windows Vista, Windows XP

Összefoglaló

A Cryptolocker.Y egy olyan trójai, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja neki eladni a titkosítás feloldásához szükséges jelszót.

Leírás

Futtatásnál a trójai létrehozza a következő állományt:

  • %Temp%keepalive.exe

Létrehozza az alábbi regisztrációs kulcsokat:

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”CryptoAppAppForcedEnded” 0x00000001
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”CryptoAppDelay” 0x00000000
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”CryptoApp” “%CurrentFolder%[FILE NAME] start”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”CryptoApp” “%CurrentFolder%[FILE NAME].exe start”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”CryptoAppSelfDestroyEncryptTime” 0x000138ae
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”CryptoAppSelfDestroyTickCount” 0x000290eb
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”CryptoAppAllEncrypted” 0x00000001
  • HKEY_CURRENT_USERSoftwareCryptoApp%CurrentFolder%progress”done” 0x00000001
  • HKEY_CURRENT_USERSoftwareCryptoApp%CurrentFolder%progress”saved” 0x00000001
  • HKEY_CURRENT_USERSoftwareCryptoApp%CurrentFolder%progress”mode” 0x00000002
  • HKEY_CURRENT_USERSoftwareCryptoApp%CurrentFolder%progress”files” 0x00000000
  • HKEY_CURRENT_USERSoftwareCryptoApp%CurrentFolder%progress”done” 0x00000000
  • HKEY_CURRENT_USERSoftwareCryptoApp%CurrentFolder%progress”files” 0x0000009E
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”CryptoAppEncryptedFiles” 0x0000009E
  • HKEY_CURRENT_USERSoftwareCryptoApp%CurrentFolder%progress”time” a8 61 00 00

Titkosítja a következő kiterjesztésekkel rendelkező állományokat:

  • .iff
  • .3fr
  • .3gp
  • .7z
  • .accdb
  • .ai
  • .arc
  • .arw
  • .avi
  • .bad
  • .bay
  • .bmp
  • .cam
  • .cdr
  • .cer
  • .cineon
  • .cr2
  • .crt
  • .crw
  • .csv
  • .ctl
  • .dat
  • .dbf
  • .dcr
  • .der
  • .des
  • .dicom
  • .dng
  • .doc
  • .docm
  • .docx
  • .dsc
  • .dwg
  • .dxf
  • .dxg
  • .eps
  • .erf
  • .fla
  • .flv
  • .fmb
  • .fmt
  • .fmx
  • .gif
  • .hdr
  • .html
  • .iif
  • .img
  • .indd
  • .jpe
  • .jpeg
  • .jpg
  • .kdc
  • .log
  • .lst
  • .m4v
  • .mdb
  • .mdf
  • .mef
  • .mov
  • .mpeg
  • .mrw
  • .nd
  • .nef
  • .nrw
  • .odb
  • .odm
  • .odp
  • .ods
  • .odt
  • .openexr
  • .ora
  • .orf
  • .p12
  • .p7b
  • .p7c
  • .pbm
  • .pck
  • .pdd
  • .pdf
  • .pef
  • .pem
  • .pfx
  • .pgm
  • .pic
  • .pkb
  • .pks
  • .plb
  • .pls
  • .png
  • .pot
  • .ppm
  • .pps
  • .ppt
  • .pptm
  • .pptx
  • .prn
  • .psb
  • .psd
  • .pst
  • .ptx
  • .qba.tlg
  • .qbm
  • .qbr
  • .qbw
  • .qbw.tlg
  • .qbx
  • .qby
  • .qfx
  • .r3d
  • .raf
  • .rar
  • .raw
  • .rdf
  • .rdo
  • .rep
  • .rex
  • .rtf
  • .rw2
  • .rwl
  • .sql
  • .srf
  • .srw
  • .sti
  • .sxi
  • .tiff
  • .txt
  • .vdi
  • .wb2
  • .wpd
  • .wps
  • .xbm
  • .xlk
  • .xls
  • .xlsb
  • .xlsm
  • .xlsx
  • .xml
  • .yaml
  • .zip
  • .php
  • .css
  • .asp
  • .cpp
  • .js
  • .pl
  • .perl
  • .swf
  • .aspx
  • .potx
  • .potm
  • .ppam
  • .ppsx
  • .ppsm
  • .sldx
  • .sldm
  • .thmx
  • .xlam
  • .xltm
  • .dotm
  • .dotx

Elküldi a titkosításhoz használt kulcsokat a http://]gvgtransportation.com/s/ksubm[REMOVED] című kiszolgálóhoz.

Titkosítás után lérehozza az alábbi tartalmú állományt:

“How can you decrypt your files 

Your important files on this computer (including connected flash or external drives) were encrypted. You can personally verify this. 

Encryption was made using a unique private key RSA-2048, generated for this computer. To decrypt your files you will need to pay 1 Bitcoin. 

Any attempt to remove or damage this software will lead to the immediate destruction of the private key by server. 

1 You should register the Bitcoin wallet – Click here 

2 Purchasing Bitcoin – Altrought it’s may yet easy to buy Bitcoin, it’s getting simple every day. Here are our recomandation: 

LocalBitcoins.com – This fantastic service allows you to search for people in your community willing to sell bitcoins to you directly 
Coinbase.com – Bitcoin exchange based on United States 
Coin.mx – An international Bitcoin exchanger (Accept Credit Card Payments) 

3 Send the payment of 1 (one) Bitcoin to the Bitcoin address 1AbwLtv7JTtbLmj8LrGq7TzCdkD4ZNET5C 
4 After you make the payment, enter your Bitcoin address below to decrypt your files 

Visit one of the following website to decrypt your files: 

[https://]GUHVUOZ7AM24B5MV.TOR2WEB.ORG[REMOVED] 
[https://]GUHVUOZ7AM24B5MV.TOR2WEB.BLUTMAGIE.DE[REMOVED] 
[https://]GUHVUOZ7AM24B5MV.S1.TOR-GATEWAYS.DE[REMOVED] 
[https://]GUHVUOZ7AM24B5MV.ONION.CITY[REMOVED] 
[https://]GUHVUOZ7AM24B5MV.ONION.CAB[REMOVED] 

NOTE: Follow these steps and your data will be restored guaranteed.”

Megoldás

Használjon offline biztonsági mentést.

Támadás típusa

Crypthographical (Titkosítás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »