Ransomware:Win32/Zuresq.A


2014. szeptember 4. 10:20

CH azonosító

CH-11578

Angol cím

Ransomware:Win32/Zuresq.A

Felfedezés dátuma

2014.09.02.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Zuresq.A zsaroló program titkosítja az állományokat a fertőzött számítógépen, ezért azok használhatatlanná válnak. Ez után arra kéri áldozatát, hogy váltságdíjat fizessen a titkosított fájlokért.

A kártékony szoftver fórumokon, torrenten, ingyenes jogtiszta programként mutatja magát, így a gyanútlan felhasználó letöltheti azt.

Leírás

Amikor a program a számítógépre kerül, kapcsolódik egy távoli kiszolgálóhoz (például 5.199.171.47/patriote/<removed>) annak érdekében, hogy a legutóbbi verzióra frissítse magát.

Létrehozza a C:zerolocker mappát, és elhelyezi ide a frissített verzióját. A program a zerorescue.exe nevet használja jelenleg, ám ez verzióként változhat. Létezik olyan variáns, mely manager.exe néven telepítődik, aztán létrehozza a zerolocker mappát, és telepíti a program frissített verzióját.

Módosítja az alábbi regisztrációs bejegyzést annak érdekében, hogy a Windows-zal együtt, automatikusan indulhasson: HKCUSoftwareMicrosoftWindowCurrentVersionRun helyen a “FileRescue” értéket “C:zerolockerzerorescue.exe” adattal.

Titkosítás:

A program titkosítja az állományokat, melyek a művelet után használhatatlanná válnak. A titkosítást véletlenszerű kulcs generálásával hajtja végre, amit a zsaroló program feltölt egy távoli kiszolgálóra, így az állományok visszafejthetőek maradnak.

Minden olyan könyvtárban található állomány titkosításra kerül, ami az alábbi mappákon kívül a számítógépen van:

  • Desktop
  • Program Files
  • Windows
  • Zerolocker

Elhelyez egy képet az asztalon, ami egy üzenetet mutat arról, hogyan fejtheti vissza a felhasználó a fájljait. Ennek érdekében 300 és 1000 dollár közötti árat kell megfizetni Bitcoin használatával.

A .encrypt karaktereket hozzáadja a titkosított fájlok nevének végéhez.

A program képes megtéveszteni a különböző biztonsági szoftvereket, és elbújni azok elől.

A szoftver RijndaelManaged (AES) titkosítást használ, és véletlenszerű kódot generál, amit feltölt egy távoli kiszolgálóra. A kulcs alfanumerikus számokat tartalmaz, melyek 0x14 hosszúságúak, emellett SHA512 kriptográfiai hash függvényt használ, amikor titkosítja az állományokat.

Megoldás

Frissítse a biztonsági szoftverek adatbázisát.

Támadás típusa

Crypthographical (Titkosítás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.microsoft.com

Legfrissebb sérülékenységek
CVE-2025-21308 – Windows Themes Spoofing sebezhetősége
CVE-2025-21275 – Windows App Package Installer Elevation of Privilege sebezhetősége
CVE-2025-21335 – Microsoft Windows Hyper-V NT Kernel Integration VSP Use-After-Free sebezhetősége
CVE-2025-21334 – Microsoft Windows Hyper-V NT Kernel Integration VSP Use-After-Free sebezhetősége
CVE-2025-21333 – Microsoft Windows Hyper-V NT Kernel Integration VSP Heap-based Buffer Overflow sebezhetősége
CVE-2024-41713 – Mitel MiCollab Path Traversal sérülékenysége
CVE-2024-55550 – Mitel MiCollab Path Traversal sérülékenysége
CVE-2021-44207 – Acclaim Systems USAHERDS Use of Hard-Coded Credentials sérülékenysége
CVE-2024-12356 – BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) Command Injection sérülékenysége
CVE-2022-23227 – NUUO NVRmini2 Devices Missing Authentication sérülékenysége
Tovább a sérülékenységekhez »