Összefoglaló
A Cryptodefense trójai fertőzött rendszereken fájlokat titkosít, és a dekódolásért a felhasználóktól váltságdíjat követel. A Cryptodefense a titkosítás feloldásáért alapesetben 500 dollárt kér. Ha a felhasználó nem reagál bizonyos határidőn belül, akkor a váltságdíj a duplájára növekedik.
Fontos megemlíteni, hogy a követelés teljesítése után nem garantálja semmi, hogy az állományok újra használhatóak lesznek és ténylegesen megtörténik a dekódolás.
Leírás
1. A következő állományokat hozza létre:
HOW_DECRYPT.TXT
HOW_DECRYPT.HTML
HOW_DECRYPT.URL
2. Az alábbi bejegyzéseket hozzáadja a regisztrációs adatbázishoz:
HKEY_CURRENT_USERSoftware[véletlenszerű karakterek]PROTECTED
3. A következő értékeket a regisztrációs adatbázishoz hozzáfűzi:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun[véletlenszerű karakterek] = “%AppData%[véletlenszerű karakterek].exe”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun[véletlenszerű karakterek] =”C:[véletlenszerű karakterek][véletlenszerű karakterek].exe”
4. Különböző fájlokat keres gyakran használt kiterjesztésekkel.
5. Titkosítja az állományokat.
6. Megzsarolja a felhasználókat.
7. Távoli kiszolgálóra feltölti a lementett képernyőképeket.
8. Az alapértelmezett böngészőben megnyit egy weboldalt.
Megoldás
Naprakész vírusírtó.
Támadás típusa
Information disclosure (Információ/adat szivárgás)System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com