HadesLocker zsaroló trójai


2016. október 11. 07:44

CH azonosító

CH-13613

Angol cím

Ransom.HadesLocker

Felfedezés dátuma

2016.10.05.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 8, Windows 10, Windows 8.1, Windows NT, Windows Vista, Windows XP

Összefoglaló

A HadesLocker zsaroló trójai célja, hogy értékes fájlok (dokumentumok, képek, multimédiás állományok, adatfájlok és forráskódok) titkosítása után váltságdíjat szedjen a felhasználótól. Amennyiben elkezdi futását a számítógépen, akkor az első dolga, hogy felkutatja a számára releváns állományokat, amelyeket titkosít. Semmiféle olyan műveletet nem végez, amely a számítógépen való perzisztens jelenlétét lehetővé tenné.

Leírás

A kártékony program egy üzenetben tájékoztatja a felhasználót arról, hogy a számítógépen az értékes fájlok titkosítva lettek, amit csak váltságdíj kifizetésével hozhat helyre. A fizetéshez egy rövid határidőt adnak a zsarolók, aminek elmulasztása a váltságdíj összegének megduplázását eredményezi.
 
Ez esetben is elmondható, hogy nem célszerű teljesíteni a zsarolók követelését, hiszen nincs garancia arra, hogy a fizetést követően a fájlok valóban helyreállíthatóvá válnak.

Technikai leírás:

Amikor a trójai fut, az alábbi fájlokat hozza létre az érintett könyvtárakban:

  • [PATH OF ENCRYPTED FILES]README_RECOVER_FILES_DF635A8069D44D81.html
  • [PATH OF ENCRYPTED FILES]README_RECOVER_FILES_DF635A8069D44D81.png
  • [PATH OF ENCRYPTED FILES]README_RECOVER_FILES_DF635A8069D44D81.txt

Ezt követően a trójai titkosítja a következő kiterjesztéssel rendelkező fájlokat a fertőzött számítógépen:

  • .ai
  • .al
  • .asm
  • .asp
  • .bak
  • .bay
  • .c
  • .cer
  • .CPI
  • .cpp
  • .crt
  • .cs
  • .csv
  • .db
  • .doc
  • .dot
  • .dtd
  • .eps
  • .h
  • .hbk
  • .htm
  • .html
  • .java
  • .jpg
  • .key
  • .lua
  • .m
  • .msg
  • .OBJ
  • .pas
  • .pdb
  • .pdf
  • .pem
  • .php
  • .pl
  • .png
  • .ppt
  • .ps
  • .py
  • .rar
  • .rtf
  • .sql
  • .sqlite
  • .STC
  • .STD
  • .stx
  • .tex
  • .txt
  • .wav
  • .wb2
  • .wpd
  • .xls
  • .xml
  • .zip

A trójai a következő kiterjesztést fűzi hozzá a titkosított fájlnevekhez:

  • ~HLKI56J

Legvégül a trójai a fertözött számítógép képernyőjén egy üzenetet jelenít meg, amelyben figyelmezteti a felhasználókat, hogy a fájlok titkosítva lettek, és utasításokat ad, hogyan lehet fizetni a fájlok visszafejtéséért.

Megoldás

Használjon offline biztonsági mentést.

Támadás típusa

Ransomware
Trójai

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-33073 – Windows SMB Client Elevation of Privilege sérülékenysége
CVE-2025-2254 – GitLab CE/EE sérülékenysége
CVE-2022-30190 – Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution sérülékenysége
CVE-2025-24016 – Wazuh Server Deserialization of Untrusted Data sérülékenysége
CVE-2025-33053 – Web Distributed Authoring and Versioning (WebDAV) External Control of File Name or Path sérülékenysége
CVE-2025-32433 – Erlang Erlang/OTP SSH Server Missing Authentication for Critical Function sérülékenysége
CVE-2024-42009 – RoundCube Webmail Cross-Site Scripting sérülékenysége
CVE-2025-21479 – Qualcomm Multiple Chipsets Incorrect Authorization sérülékenysége
CVE-2025-5419 – Google Chromium V8 Out-of-Bounds Read and Write sérülékenysége
Tovább a sérülékenységekhez »