Összefoglaló
A Ransom.HDDCryptor egy olyan trójai, amely titkosítja a fájlokat a kompromittálódott számítógépen, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.
Leírás
Amikor a trójai végrehajtódik, a következő fájlokat hozza létre:
- %SystemDrive%/DC22/dcapi.dll
- %SystemDrive%/DC22/dccon.exe
- %SystemDrive%/DC22/dcinst.exe
- %SystemDrive%/DC22/dcrypt.exe
- %SystemDrive%/DC22/dcrypt.sys
- %SystemDrive%/DC22/mount.exe
- %SystemDrive%/DC22/netpass.exe
- %SystemDrive%/DC22/netpass.txt
- %SystemDrive%/DC22/log_file.txt
- %SystemDrive%/DC22/netuse.txt
Majd a következő registry bejegyzéseket hozza létre:
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDefragmentService
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdcrypt
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdcryptconfig
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdcryptInstances
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdcryptInstancesdcrypt
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdcryptSecurity
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdcryptEnum
Ezt követően a trójai azonosítja a már csatlakoztatott hálózati meghajtókat és az alábbi fájlban tárolja el azokat:
- %SystemDrive%/DC22/netuse.txt
A trójai hitelesítési adatokat kaphat a már korábban csatlakoztatott hálózati meghajtón tárolt adatokról:
- %SystemDrive%/DC22/netpass.txt
A trójai lépéseit a következő fájlba menti:
- %SystemDrive%/DC22/log_file.txt
A trójai titkosítja a MBR-t (Master Boot Record), továbbá a fájlokat a merevlemezen, valamint a hálózati meghajtókon.
Újraindítás után a felhasználót egy képernyő üzenet tájékoztatja az adatai titkosításáról és a feloldáshoz szükséges teendőkről.
Megoldás
- Használjon offline biztonsági mentést.
- Használjon naprakész vírusírtó szoftvert.
Támadás típusa
RansomwareTrójai
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com