Összefoglaló
A js.Racryptor nevű, Windows operációs rendszereket támadó, zsaroló trójai káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.
Leírás
A Racryptor egy orosz nyelvű üzenet révén közli a követeléseit. Fontos jellemzője, hogy a fertőzésekor hatástalanítja a Windows árnyékmásolatok készítéséért felelős szolgáltatását, amivel eléri, hogy árnyékmásolatokból se lehessen elvégezni a helyreállítást. Ebből adódóan a biztonsági mentéseknek kulcsfontosságú szerepük van.
1. Létrehozza a következő állományokat:
%UserProfile%My Documentsdoc_attached_lZqMS
%SystemDrive%!!!README!!!lZqMS.rtf
2. Titkosítja az alábbi kiterjesztésekkel rendelkező állományokat:
.cd
.cdr
.dbf
.doc
.dwg
.jpg
.lcd
.mdb
.pdf
.png
.psd
.rar
.rtf
.xls
.zip
3. A kódolt fájlok kiterjesztéséhez a .locked szót fűzi hozzá.
4. Létrehozza, majd elindítja a következő állományt:
%UserProfile%My Documentsst.exe
5. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”(Default)” = “[a trójai elérési útvonala]”
6. A regisztrációs adatbázisból kitörli a következő bejegyzést:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesVSS
7. Kapcsolódik egy távoli vezérlőszerverhez.
8. Megjeleníti a zsaroló üzenetét.
Támadás típusa
RansomwareHatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu