Összefoglaló
A Cryptolocker.AR nevű, Windows operációs rendszereket támadó, zsaroló trójai káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.
Leírás
A trójai az alábbi módon fejti ki hatását:
1. Egy .rar SFX modulon keresztül kerül futtatásra, amely egy .png és egy .xml fájlt is beolvas.
2. Amikor aktiválódik, 30 percet vár mielőtt megkezdené a tevékenységét, ezután beazonosítja a számítógép földrajzi helyét a www[.]geoplugin[.]net URL-en keresztül.
3. Elküldi a számítógép információit az alábbi kiszolgálóra:
- personalgateway1.ru/gate.php?action=write&1=[UNIQUE ID]&2=[COMPUTER NAME]&3=[USER NAME]&4=[EXTERNAL IP ADDRESS]&5=nlmail22&6=[DEFAULT BROWSER]
4. Az alábbi kiterjesztésű fájlokat titkosítja:
- .ai
- .al
- .asm
- .asp
- .bak
- .bay
- .c
- .cer
- .CPI
- .cpp
- .crt
- .cs
- .csv
- .db
- .doc
- .dot
- .dtd
- .eps
- .h
- .hbk
- .htm
- .html
- .java
- .jpg
- .key
- .lua
- .m
- .msg
- .OBJ
- .pas
- .pdb
- .pem
- .php
- .pl
- .png
- .ppt
- .ps
- .py
- .rar
- .rtf
- .sql
- .sqlite
- .STC
- .STD
- .stx
- .tex
- .txt
- .wav
- .wb2
- .wpd
- .xls
- .xml
- .zip
5. Az alábbi séma alapján megváltoztatja a titkosított állományok nevét:
- [FILE NAME]@ZL@[FIVE RANDOM LETTERS]@ZL@ .[FILE EXTENSION].zyklon
6. A titkosítási folyamat alatt kapcsolódik az alábbi kiszolgálóhoz, és egy .jpg fájlt tölt le:
- personalgateway1.ru/gate.php?action=update&1=[UNIQUE ID]&2=0
7. Elküldi a titkosított állományok összegét:
- personalgateway1[.]ru/gate.php?action=update&1=[UNIQUE ID]&2=[NUMBER OF ENCRYPTED FILES]
8. Kapcsolódik a gatewaypage1.ru kiszolgálóhoz.
9. Létrehozza az alábbi állományokat:
- [PATH TO ENCRYPTED FILES]UNLOCK_FILES_README_[THREE-BYTE HEXADECIMAL IDENTIFIER].html
- [PATH TO ENCRYPTED FILES]UNLOCK_FILES_README_[THREE-BYTE HEXADECIMAL IDENTIFIER].txt
10. Létrehozza az alábbi regisztrációs bejegyzéseket:
- HKEY_CURRENT_USERSoftwareVB and VBA Program Settingssecuritysettingsdata”uid” = “[10-BYTE HEXADECIMAL IDENTIFIER]”
- HKEY_CURRENT_USERSoftwareVB and VBA Program Settingssecuritysettingsdata”filecount” = “[NUMBER OF ENCRYPTED FILES]”
- HKEY_CURRENT_USERSoftwareVB and VBA Program Settingssecuritysettingsdata”status” = “[BINARY VALUE]”
11. Létrehozza a “FDASDFJYHGFASRDHFFJH” mutexet.
12. Törli az árnyékmásolatokat.
13. A titkosítás visszafejtéséhez szükséges leírást mutat meg.
Támadás típusa
RansomwareHatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
