Alpha Crypt zsaroló kártevő

CH azonosító

CH-12200

Angol cím

Alpha Crypt ransomware

Felfedezés dátuma

2015.04.30.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A nemrégiben megjelent Tesla Crypt újabb változata jelent meg Alpha
Crypt néven. A zsaroló kártevők családjába tartozó Cryptolocker klón,
nem sok eltérést mutat az elődjéhez képest.

Leírás

A zsaroló kártevő (ransomware) titkosítja a helyi, hálózati mappákban és csatlakoztatott adathordozókon található fájlokat. A kártevő miután végezett a titkosítással, egy felugró üzenetben tájékoztatja a  felhasználót, az elérhetetlené vált adatai visszaállításának feltételeiről. Ezt természetesen anyagi ellenszolgáltatás fejében teszi, anonim on-line fizetés (bitcoin)formájában.


A ransomware terjesztése az Angler Exploit Kit felhasználásával valósul meg. Miután a
vírus bekerül a rendszerbe, az állományok folyamatos felderítése során
bizonyos kiterjesztésű fájlokat titkosít és kiterjesztésüket .ezz-re változtatja. Alapvető különbség a Tesla Crypt-hez képest a kiterjesztés, az ott használt .ecc helyett .ezz-t használ. Az titkosított állományok listája mentésre kerül %AppData%log.html néven, valamint létrejön egy
%AppData%key.dat fájl is, melynek tartalma nem ismert. Amikor a
titkosítás befejeződött, a háttérkép megváltozik a % Desktop% 
HELP_TO_SAVE_FILES.bmp képre és megnyitja a % Desktop% 
HELP_TO_SAVE_FILES.txt fájlt. Ezen állományok tartalmazzák, a
visszaállításról és a fizetésről szóló információkat.


Az Alpha Crypt által letrehozott állományok:
  • %AppData%key.dat
  • %AppData%blburkg.exe
  • %AppData%log.html
  • %Desktop%HELP_TO_SAVE_FILES.txt
  • %Desktop%HELP_TO_SAVE_FILES.bmp
  • %Desktop%Save_Files.lnk
  • %Documents%RECOVERY_FILE.TXT
Rendszerleíró adatbázis bejegyzései:
  • HKCUSoftwareMicrosoftWindowsCurrentVersionRunAVSvc%AppData%<random>.exe

Megoldás

Az elkódolt állományok visszaállítása biztonsági mentésekből lehetséges, ezenkívül elérhető az alábbi linken visszafejtő alkalmazás is, melynek eredményessége az egyes rendszerek esetében változó lehet.

http://blogs.cisco.com/security/talos/teslacrypt