Összefoglaló
A nemrégiben megjelent Tesla Crypt újabb változata jelent meg Alpha Crypt néven. A zsaroló kártevők családjába tartozó Cryptolocker klón, nem sok eltérést mutat az elődjéhez képest.
Leírás
A zsaroló kártevő (ransomware) titkosítja a helyi, hálózati mappákban és csatlakoztatott adathordozókon található fájlokat. A kártevő miután végezett a titkosítással, egy felugró üzenetben tájékoztatja a felhasználót, az elérhetetlené vált adatai visszaállításának feltételeiről. Ezt természetesen anyagi ellenszolgáltatás fejében teszi, anonim on-line fizetés (bitcoin)formájában.
A ransomware terjesztése az Angler Exploit Kit felhasználásával valósul meg. Miután a vírus bekerül a rendszerbe, az állományok folyamatos felderítése során bizonyos kiterjesztésű fájlokat titkosít és kiterjesztésüket .ezz-re változtatja. Alapvető különbség a Tesla Crypt-hez képest a kiterjesztés, az ott használt .ecc helyett .ezz-t használ. Az titkosított állományok listája mentésre kerül %AppData%log.html néven, valamint létrejön egy %AppData%key.dat fájl is, melynek tartalma nem ismert. Amikor a titkosítás befejeződött, a háttérkép megváltozik a % Desktop% HELP_TO_SAVE_FILES.bmp képre és megnyitja a % Desktop% HELP_TO_SAVE_FILES.txt fájlt. Ezen állományok tartalmazzák, a visszaállításról és a fizetésről szóló információkat.
Az Alpha Crypt által letrehozott állományok:
- %AppData%key.dat
- %AppData%blburkg.exe
- %AppData%log.html
- %Desktop%HELP_TO_SAVE_FILES.txt
- %Desktop%HELP_TO_SAVE_FILES.bmp
- %Desktop%Save_Files.lnk
- %Documents%RECOVERY_FILE.TXT
Rendszerleíró adatbázis bejegyzései:
- HKCUSoftwareMicrosoftWindowsCurrentVersionRunAVSvc%AppData%<random>.exe
Megoldás
Az elkódolt állományok visszaállítása biztonsági mentésekből lehetséges, ezenkívül elérhető az alábbi linken visszafejtő alkalmazás is, melynek eredményessége az egyes rendszerek esetében változó lehet.
http://blogs.cisco.com/security/talos/teslacrypt