Összefoglaló
A Ransomcrypt trójai eddigi variánsai elsősorban a felhasználói állományokat támadták. Így például a dokumentumokra, fényképekre, videókra, adatbázisokra jelentettek igazán komoly veszélyt. Az “AA” betűjelű variáns azonban változtatott az eddigi fertőzési technikáján, és elsősorban az operációs rendszer, valamint az alkalmazások működéséhez, telepítéséhez szükséges fájlokat szemelte ki magának.
Leírás
A Ransomcrypt.AA egyebek mellett olyan állományokat titkosít, amik például .bat, .exe, .sys, .msi kiterjesztésekkel rendelkeznek. Amint a feladatával végez, akkor megjeleníti a zsaroló üzenetét, és váltságdíjat követel a dekódoláshoz szükséges információkért cserébe.
Technikai részletek:
1. Létrehozza a következő állományt:
%AllUsersProfile%date_1.txt
2. Létrehozza az alábbi mappát:
%AllUsersProfile%faktura
3. A regisztrációs adatbázishoz hozzáadja a következő értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”cssys” = “%AllUsersProfile%ntserver.exe”
4. Titkosítja az alábbi kiterjesztésekkel rendelkező állományokat:
.bat
.cmd
.com
.cpl
.dll
.exe
.hta
.lnk
.msc
.msi
.msp
.pif
.scr
.sys
5. Megjelenít egy zsaroló üzenetet.
Megoldás
- Használjon offline biztonsági mentést.
- Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE)
Támadás típusa
RansomwareTrójai
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com