Trojan.Cryptolocker.G

CH azonosító

CH-11440

Angol cím

Trojan.Cryptolocker.G

Felfedezés dátuma

2014.07.20.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 98
Windows 95
Windows XP
Windows Server 2008
Windows 7
Windows Me
Windows Vista
Windows NT
Windows Server 2003
Windows 2000

Összefoglaló

A Cryptolocker trójai az elődjei az általa kifejtett negatív hatások eredményeként széles körű ismertséget szerzett. A Cryptolocker “G” betűjelű variánsa is ugyanolyan kockázatot jelent mint az elődje, mivel hasonló veszélyt jelent a felhasználóra. A rendszeren tárolt fájlokat a titkosítás miatt használhatatlanná teszi, majd pénzt követel a dekódoláshoz szükséges információkért. A Tor hálózatok segítenek eltüntetni a tranzakciók nyomait. Semmi sem garantálja azonban, hogy a fizetés után a helyreállításhoz szükséges információk meg is érkezzenek. Ezért a hangsúlyt a megelőzésre célszerű fektetni.

A Cryptolocker.G a Windows és a felhasználó könyvtáraiba másolja be a saját állományait, és megkeresi azokat a fájlokat, amelyeket titkosítani akar. A fájlok lehetnek tanúsítványok, dokumentumok, adatbázisok, valamint Excel munkafüzetek, stb. A fájlokat megtaláltva azonnal elvégzi azok titkosítását. Az állományokat “.ctbl” kiterjesztéssel látja el.

A Cryptolocker.G a követelését a Windows háttérkép lecserélésével közli a felhasználóval.

Leírás

1. A következő állományt hozza létre:
%Temp%[véletlenszerű karakterek].exe
%UserProfile%My Documents[véletlenszerű karakterek].html
%UserProfile%My DocumentsAllFilesAreLocked[véletlenszerű karakterek].bmp
%UserProfile%My DocumentsDecryptAllFiles[véletlenszerű karakterek].txt
%Windir%Tasks[véletlenszerű karakterek].job
2. A fertőzött számítógépen felkutatja az összes olyan fájlt, amelyek az alábbi kiterjesztésekkel rendelkeznek:
cer
crt
db
dbf
der
doc
docm
docx
groups
kwm
mdb
mdf
pem
pwm
rtf
safe
sql
txt
xlk
xls
xlsb
xlsm
xlsx
3. Titkosítja a fenti fájlokat, és egy karaktersorozattal egészíti ki a kiterjesztésüket “.ctbl”.
4.A háttérképet módosítja:
%UserProfile%My DocumentsAllFilesAreLocked[véletlenszerű karakterek].bmp
5. A felhasználót tudatja a tevékenységéről.

Hivatkozások

Egyéb referencia: www.symantec.com


Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »