Összefoglaló
A DMA Locker nevű, 4.0-ás verziójú, Windows operációs rendszereket támadó, zsaroló trójai káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.
Leírás
A kártevő működéséhez mindenképpen szükség van internetkapcsolatra, mert a publikus RSA kulcsot a saját vezérlőszerveréről tölti le. Amíg nem éri el a világhálót, addig csak vár, ha pedig kapcsolatot észlel, mindaddig csendben dolgozik, amíg nem végzett a fájlok titkosításával.
Mikor aktiválódik, létrehozza az alábbi állományokat a C:ProgramData könyvtárban:
- svchosd.exe
- select.bat
- cryptinfo.txt.
Létrehoz néhány regisztrációs bejegyzést Windows Firewall és Windows Update néven.
A trójai ezek után megváltoztatja a háttérképet és egy, a titkosítás visszafejtéséhez szükséges leírást mutat meg.
A trójai határidőket is szab: először 1 bitcoint kér, majd 150%-os áremeléssel lehet csak visszaállítani a fájlokat, végül pedig egy bizonyos idő elteltével mindent töröl a meghajtóról.
Megoldás
Használjon offline biztonsági mentést.
Támadás típusa
RansomwareHatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: blog.malwarebytes.org