Összefoglaló
Trojan.Ransomcrypt.Q egy trójai, ami titkosítja a fertőzött számítógép fájljait, majd a visszafejtésükhöz váltságdíjat kér.
Leírás
Amikor aktiválódik létrehozza az alábbi állományokat, az automatikus indulás érdekében:
- %UserProfile%Start MenuProgramsStartup[ORIGINAL FILE NAME].exe
- %UserProfile%Start MenuProgramsStartupbytor.bmp
A trójai módosítja az alábbi regisztrációs bejegyzést a desktop beállítások megváltoztatására:
- HKEY_CURRENT_USERControl PanelDesktop”Wallpaper” = “%UserProfile%Application Databytor.bmp”
A következőkben a trójai titkosítja az alábbi kiterjesztésekkel ellátott fájlokat:
- 3fr
- .accdb
- .ai
- .arw
- .bay
- .cdr
- .cer
- .cr2
- .crt
- .crw
- .dbf
- .dcr
- .der
- .dng
- .doc
- .docm
- .docx
- .dwg
- .dxf
- .dxg
- .eps
- .erf
- .indd
- .jpe
- .jpg
- .kdc
- .mdb
- .mdf
- .mef
- .mrw
- .nef
- .nrw
- .odb
- .odm
- .odp
- .ods
- .odt
- .orf
- .p12
- .p7b
- .p7c
- .pdd
- .pef
- .pem
- .pfx
- .ppt
- .pptm
- .pptx
- .psd
- .pst
- .ptx
- .r3d
- .raf
- .raw
- .rtf
- .rw2
- .rwl
- .srf
- .srw
- .wb2
- .wpd
- .wps
- .xlk
- .xls
- .xlsb
- .xlsm
- .xlsx
A trójai az alábbi módon nevezi át a titkosított fájlokat:
- [ORIGINAL FILE NAME].id-[RANDOM 10-DIGIT NUMBER]_decode@india.com
Ezek után törli az eredeti állományokat.
Majd a program megpróbál csatlakozni az alábbi távoli kiszolgálókhoz:
- http://]www.fuck-isil.com/close/scrip[REMOVED]
- [http://]kapustakapaet.com/close/scrip[REMOVED]
- [http://]www.ahalaymahalay.com/close/scrip[REMOVED]
- [http://]martyanovdrweb.com/close/scrip[REMOVED]
- [http://]www.decryptindia.com/close/scrip[REMOVED]
Végül megváltoztatja az asztal hátterét, amelyen a további instrukciók találhatóak.
Megoldás
- Készítsen offline biztonsági mentést
- Tiltsa le a leírásban említett domaineket
- Használjon naprakész vírusírtó szoftvert
Támadás típusa
Crypthographical (Titkosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com