Összefoglaló
A Win32/Sorikrypt.A (Windows Defender) egy ingyenes programmal létrehozott zsarolókártevő. A támadó teljesen testre tudja szabni a kártevőt, így többek között meghatározhatja a titkosítandó fájlok körét, típusát, a titkosított fájlok kiterjesztésének nevét, a zsaroló üzenetet és a fájlok feloldásához szükséges jelszót is.
Leírás
Amikor a kártevő egy új rendszert megfertőz, először lemásolja magát – egy véletlenszerű fájlnévvel ellátva – a %TEMP% könyvtárba, majd létrehozza az alábbi registry bejegyzést annak érdekében, hogy a továbbiakban automatikusan elinduljon:
- In subkey: HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Sets value: “Alcmeter”
With data: “%TEMP%<malware file name>”
Ezen kívül további bejegyzéseket is létrehoz a registry-ben, például:
- In subkey: HKEY_CLASSES_ROOT.bs7912
Sets value: “(Default)”
With data: “QVHXQDQKOFLBYBV” - In subkey: HKEY_CLASSES_ROOTQVHXQDQKOFLBYBV
Sets value: “(Default)”
With data: “CRYPTED!” - In subkey: HKEY_CLASSES_ROOTQVHXQDQKOFLBYBVDefaultIcon
Sets value: “(Default)”
With data: “<malware file name>,0” - In subkey: HKEY_CLASSES_ROOTQVHXQDQKOFLBYBVshellopencommand
Sets value: “(Default)”
With data: “<malware file name>”
A zsaroló kártevő a következő fájlokat titkosítja: „.txt”, „.html”, „.pdf” „.bmp”, „.pif”, „.jpg”, „.wav”, „.wma”, „.lnk”, majd a titkosított fájloknak a „.bs7912” kiterjesztést adja.
A fentieken túlmenően létrehozza a következő, felhasználónak szóló tájékoztató fájlt is:
- HOW TO DECRYPT FILES.txt
Megoldás
Használjon offline biztonsági mentést és naprakész vírusirtó szoftvert!
Támadás típusa
RansomwareHatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.microsoft.com