Összefoglaló
A Cryptolocker.AV nevű, Windows operációs rendszereket támadó, zsaroló trójai káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.
Leírás
1. Mikor aktiválódik, létrehozza a %ProgramFiles%firefox.exe rejtett attribútumot.
2. Létrehozza az alábbi regisztrációs bejegyzéseket:
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Firefox Update Checker” = “%ProgramFiles%firefox.exe”
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”Firefox Update Checker” = “%ProgramFiles%firefox.exe”
3. Letiltja az alábbi folyamatokat:
- explorer.exe
- taskmgr.exe
- regedit.exe
4. A következő kiterjesztésű állományokat titkosítja:
- .bat
- .bin
- .com
- .Contact_Here_To_Recover_Your_Files.txt
- .dat
- .dll
- .exe
- .ini
- .lnk
- .msi
- .SecureCrypted
- .sys
- .tmp
5. A titkosított fájlok a “.SecureCrypted” kiterjesztést kapják.
6. A zsarolólevelet az alábbi helyre másolja:
[PATH TO ENCRYPTED FILES][ENCRYPTED FILE’S NAME].Contact_Here_To_Recover_Your_Files.txt
Végül megmutatja a titkosítás visszafejtéséhez szükséges leírást (zsarolólevél).
Megoldás
Használjon offline biztonsági mentést.
Támadás típusa
RansomwareHatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com