Ransomcrypt.AT

CH azonosító

CH-13257

Angol cím

Ransomcrypt.AT

Felfedezés dátuma

2016.05.18.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows NT, Windows Vista, Windows XP

Összefoglaló

A Ransomcrypt.AT nevű, Windows operációs rendszereket támadó, trójai típusú káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás

Mikor aktiválódik a káros kód, titkosítja az alábbi kiterjesztésű állományokat:

  • .exe
  • .777
  • .dll
  • .msi

A kártevő nem titkosítja az alábbi helyen található állományokat:

  • %Windir%
  • %ProgramFiles%

A trójai az alábbi karakterlánccal látja el a titkosított fájlokat: ._[DAY-MONTH-YEAR-HOUR-MINUTE-SECOND]_$[EMAIL ADDRESS]$.777

Megpróbálja megszerezni a fertőzött számítógép IP címét, és elküldi a [http://]tuginsaat.com/wp-content/themes/twentythirteen/stat[REMOVED] címre.

Létrehozza az alábbi fájlt: %UserProfile%Desktopread_this_file.txt

Létrehozza az alábbi fájlt és erre változtatja a háttérképet: %Temp%tmp.bmp

Végül egy a titkosítás visszafejtéséhez szükséges leírást mutat meg.

A fájlok visszaállításához egy e-mailt kell küldeni az alábbi címekre:

  • ninja.gaiver@aol[.]com
  • kaligula.caesar@aol.[]com
  • seven_legion@india[.]com

Hivatkozások

Egyéb referencia: www.symantec.com


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2024-57968 – Advantive VeraCore Unrestricted File Upload sebezhetősége
CVE-2025-25181 – Advantive VeraCore SQL Injection sebezhetősége
CVE-2025-22224 – VMware ESXi és Workstation sérülékenysége
CVE-2025-22225 – VMware ESXi sérülékenysége
CVE-2025-22226 – VMware ESXi, Workstation és Fusion sérülékenysége
CVE-2022-43939 – Hitachi Vantara Pentaho BA Server Authorization Bypass sebezhetősége
CVE-2022-43769 – Hitachi Vantara Pentaho BA Server Special Element Injection sebezhetősége
CVE-2024-4885 – Progress WhatsUp Gold Path Traversal sebezhetősége
CVE-2018-8639 – Microsoft Windows Win32k Improper Resource Shutdown or Release sebezhetősége
Tovább a sérülékenységekhez »