Trojan.Ransomcrypt.AU


2016. május 25. 07:22

CH azonosító

CH-13265

Angol cím

Trojan.Ransomcrypt.AU

Felfedezés dátuma

2016.05.23.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows NT, Windows Vista, Windows XP

Összefoglaló

A Ransomcrypt.AU nevű, Windows operációs rendszereket támadó, zsaroló trójai káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás

Mikor aktiválódik, létrehozza az alábbi fájlokat:

  • %SystemDrive%Network Prosoftbadransom.exe
  • %SystemDrive%Network Prosoftbaman.vab
  • %SystemDrive%Network Prosoftwarn

Létrehozza az alábbi regisztrációs bejegyzéseket:

  • HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun”BadBlockR” = “%SystemDrive%Network Prosoftbadransom.exe”
  • HKCUSoftwareMicrosoftWindowsCurrentVersionRun”BadBlockR” = “%SystemDrive%Network Prosoftbadransom.exe”

Kapcsolódik a [http://]managemilz.com/qpalk[REMOVED] távoli kiszolgálóhoz.

Titkosítja az alábbi kiterjesztésű fájlokat:

  • .3d
  • .3ds
  • .509
  • .7z
  • .aac
  • .abr
  • .accda
  • .accdb
  • .accdc
  • .accde
  • .accdp
  • .accdt
  • .accdu
  • .ade
  • .ai
  • .air
  • .apk
  • .ashx
  • .asp
  • .aspx
  • .avi
  • .bak
  • .big
  • .bik
  • .bkf
  • .bkp
  • .bmp
  • .c4d
  • .ca
  • .cab
  • .cdr
  • .cdt
  • .cer
  • .cert
  • .chm
  • .class
  • .crt
  • .csh
  • .csr
  • .css
  • .csv
  • .dat
  • .db
  • .dbf
  • .dbx
  • .dds
  • .dng
  • .doc
  • .docm
  • .docx
  • .dot
  • .dotm
  • .dotx
  • .drw
  • .dwg
  • .dxf
  • .eml
  • .emz
  • .exe
  • .fdb
  • .fla
  • .flv
  • .gdb
  • .gdoc
  • .gif
  • .hi
  • .htm
  • .html
  • .idb
  • .idx
  • .ind
  • .iso
  • .jar
  • .jpeg
  • .jpg
  • .js
  • .json
  • .jsp
  • .laccdb
  • .ldif
  • .log
  • .lst
  • .maf
  • .mam
  • .mar
  • .max
  • .mdb
  • .mdf
  • .mdi
  • .mht
  • .mov
  • .mp3
  • .mp4
  • .mpd
  • .mpeg
  • .mpg
  • .mpp
  • .mpt
  • .msg
  • .nba
  • .nbf
  • .nco
  • .nrg
  • .odf
  • .odg
  • .ods
  • .odt
  • .ofx
  • .old
  • .one
  • .opml
  • .ott
  • .p7b
  • .pak
  • .pdf
  • .pem
  • .php
  • .pic
  • .pmd
  • .png
  • .pot
  • .potx
  • .pps
  • .ppsx
  • .ppt
  • .pptm
  • .pptx
  • .prproj
  • .psb
  • .psd
  • .pst
  • .ptb
  • .pts
  • .pub
  • .pwi
  • .qbm
  • .qbo
  • .qbw
  • .qdf
  • .qif
  • .qtx
  • .rar
  • .rtf
  • .sav
  • .save
  • .sda
  • .sdc
  • .sdd
  • .sdf
  • .sdw
  • .skp
  • .snp
  • .sql
  • .sqlite
  • .svg
  • .swf
  • .sxc
  • .sxw
  • .tax
  • .tif
  • .tlg
  • .tpl
  • .txt
  • .u3d
  • .vbs
  • .vcf
  • .vsd
  • .wav
  • .wdb
  • .webm
  • .wma
  • .wmf
  • .wmv
  • .wpd
  • .xls
  • .xlsm
  • .xlsx
  • .xml
  • .zip

Minden titkosított mappában létrehozza a Help Decrypt.html állományt.

Végül egy a titkosítás visszafejtéséhez szükséges leírást mutat meg.

Megoldás

Használjon offline biztonsági mentést.

Támadás típusa

Ransomware

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »