Ransom.HDDCryptor trójai

CH azonosító

CH-13585

Angol cím

Ransom.HDDCryptor

Felfedezés dátuma

2016.09.19.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 8, Windows 10, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Ransom.HDDCryptor egy olyan trójai, amely titkosítja a fájlokat a kompromittálódott számítógépen, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót. 

Leírás

Amikor a trójai végrehajtódik, a következő fájlokat hozza létre:

  • %SystemDrive%/DC22/dcapi.dll
  • %SystemDrive%/DC22/dccon.exe
  • %SystemDrive%/DC22/dcinst.exe
  • %SystemDrive%/DC22/dcrypt.exe
  • %SystemDrive%/DC22/dcrypt.sys
  • %SystemDrive%/DC22/mount.exe
  • %SystemDrive%/DC22/netpass.exe
  • %SystemDrive%/DC22/netpass.txt
  • %SystemDrive%/DC22/log_file.txt
  • %SystemDrive%/DC22/netuse.txt

Majd a következő registry bejegyzéseket hozza létre:

  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDefragmentService
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdcrypt
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdcryptconfig
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdcryptInstances
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdcryptInstancesdcrypt
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdcryptSecurity
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdcryptEnum

Ezt követően a trójai azonosítja a már csatlakoztatott hálózati meghajtókat és az alábbi fájlban tárolja el azokat:

  • %SystemDrive%/DC22/netuse.txt

A trójai hitelesítési adatokat kaphat a már korábban csatlakoztatott hálózati meghajtón tárolt adatokról:

  • %SystemDrive%/DC22/netpass.txt

A trójai lépéseit a következő fájlba menti:

  • %SystemDrive%/DC22/log_file.txt

A trójai titkosítja a MBR-t (Master Boot Record), továbbá a fájlokat a merevlemezen, valamint a hálózati meghajtókon. 

Újraindítás után a felhasználót egy képernyő üzenet tájékoztatja az adatai titkosításáról és a feloldáshoz szükséges teendőkről.

Megoldás

  • Használjon offline biztonsági mentést.
  • Használjon naprakész vírusírtó szoftvert.

Hivatkozások

Egyéb referencia: www.symantec.com


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-24228 – Apple sebezhetősége
CVE-2025-24097 – Apple sebezhetősége
CVE-2024-20440 – Cisco Smart Licensing Utility sebezhezősége
CVE-2025-1268 – Canon sebezhetősége
CVE-2025-2783 – Google Chromium Mojo Sandbox Escape sebezhetősége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
Tovább a sérülékenységekhez »