Összefoglaló
A Cendode.A trójai készítői korábbról már jól ismert és komoly pusztítást okozó kártékony programoktól lesték el a trükkjeiket. A malware ugyanis arra alkalmas, hogy a felhasználó fájljait lekódolja, majd váltságdíjat követeljen a helyreállításhoz szükséges információkért. A kártékony program többek között dokumentumokat, excel táblázatokat, képeket, adatbázisokat és tömörített állományokat is képes használhatatlanná tenni.
A Cendode.A az általa megfertőzött fájlokat új kiterjesztéssel látja el, Majd közli a felhasználóval, hogy nyisson meg egy szöveges fájlt, amelyben megtalálja a további teendőkre vonatkozó utasításokat.
Leírás
1. Létrehozza az alábbi állományokat:
%APPDATA% sundevpackupdatebuyunlockcode.txt
%APPDATA% sundevpackupdate[számítógépazonosító].txt
%APPDATA%sundevpackupdate[számítógépazonosító].txt.zip
%APPDATA% sundevpackupdatepbinfoset.sww
%APPDATA% sundevpackupdatewallpp.bmp
2. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunSunDevUpdate=”[a kérokozó fájlneve]
HKCUSoftwareSunDevUpdateoldex=”[a kérokozó fájlneve]
3. Felkutatja a dokumentumokat, multimédiás és tömörített állományokat, adatbázisokat, majd azokat titkosítja.
4. Az általa letitkosított fájlokat .enc0ded![client ID] kiterjesztéssel látja el.
5. Megváltoztatja a háttérképet.
6. Arra kéri a felhasználót, hogy nyisson meg egy BUYUNLOCKCODE.txt nevű fájlt, amelyből tájékozódhat a további teendőkről.
Megoldás
Használjon vírusvédelmi programot és tűzfalat, illetve rendszeresen frissítse azokat.
Támadás típusa
Crypthographical (Titkosítás)Information disclosure (Információ/adat szivárgás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.isbk.hu
Egyéb referencia: www.microsoft.com