Cendode.A trójai

CH azonosító

CH-11944

Angol cím

Win32/Cendode.A

Felfedezés dátuma

2015.01.19.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

A Cendode.A trójai készítői korábbról már jól ismert és komoly pusztítást okozó kártékony programoktól lesték el a trükkjeiket. A malware ugyanis arra alkalmas, hogy a felhasználó fájljait lekódolja, majd váltságdíjat követeljen a helyreállításhoz szükséges információkért. A kártékony program többek között dokumentumokat, excel táblázatokat, képeket, adatbázisokat és tömörített állományokat is képes használhatatlanná tenni.

A Cendode.A az általa megfertőzött fájlokat új kiterjesztéssel látja el, Majd közli a felhasználóval, hogy nyisson meg egy szöveges fájlt, amelyben megtalálja a további teendőkre vonatkozó utasításokat.

Leírás

1. Létrehozza az alábbi állományokat:
%APPDATA% sundevpackupdatebuyunlockcode.txt
%APPDATA% sundevpackupdate[számítógépazonosító].txt
%APPDATA%sundevpackupdate[számítógépazonosító].txt.zip
%APPDATA% sundevpackupdatepbinfoset.sww
%APPDATA% sundevpackupdatewallpp.bmp

2. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunSunDevUpdate=”[a kérokozó fájlneve]
HKCUSoftwareSunDevUpdateoldex=”[a kérokozó fájlneve]

3. Felkutatja a dokumentumokat, multimédiás és tömörített állományokat, adatbázisokat, majd azokat titkosítja.

4. Az általa letitkosított fájlokat .enc0ded![client ID] kiterjesztéssel látja el.

5. Megváltoztatja a háttérképet.

6. Arra kéri a felhasználót, hogy nyisson meg egy BUYUNLOCKCODE.txt nevű fájlt, amelyből tájékozódhat a további teendőkről.

Megoldás

Használjon vírusvédelmi programot és tűzfalat, illetve rendszeresen frissítse azokat.