Összefoglaló
A Ransom.Cry nevű, Windows operációs rendszereket támadó, zsaroló trójai káros kód vált ismertté, amely titkosítja az érintett rendszeren található állományokat, illetve közli a feloldáshoz szükséges feltételeket.
Leírás
1. A trójai az aktiválódás időpontjában az alábbi állományokat hozza létre:
- %Temp%[RANDOM CHARACTERS].html
- %Temp%[RANDOM CHARACTERS].bmp
- %SystemDrive%Documents and SettingsAll UsersDesktop!Recovery_[RANDOM CHARACTERS].txt
- %SystemDrive%Documents and SettingsAll UsersDesktop!Recovery_[RANDOM CHARACTERS].html
- %SystemDrive%Documents and SettingsAll UsersStart MenuProgramsStartup[RANDOM CHARACTERS].lnk
2. A trójai az alábbi sort hozza létre a registry-ben:
- HKEY_LOCAL_MACHINESOFTWARE[RANDOM CHARACTERS]”[RANDOM CHARACTERS]” = “[BINARY NUMBERS]”
3. A trójai a 4444 UDP porton keresztül, 37-tel kezdődő, véletlenszerűen változó IP címhez csatlakozik.
4. A trójai az alábbi információkat küldi el egy távoli eszköz számára:
- Operációs rendszer verzióját
- Operációs rendszer architektúráját
- Felhasználó nevét
- Számítógép nevét
- CPU információkat
5. A káros kód – előre meghatározott kiterjesztés lista alapján – titkosítja a fertőzött eszközön található állományokat.
6. A trójai módosítja az Asztalon látható háttérképet, amely a titkosítás visszafejtéséhez szükséges leírást (zsarolólevelet) tartalmazza.
Megoldás
- Használjon offline biztonsági mentést.
- Használjon naprakész vírusírtó szoftvert.
Támadás típusa
RansomwareTrójai
Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com