Crypaura.A

CH azonosító

CH-11838

Angol cím

Crypaura.A

Felfedezés dátuma

2014.11.30.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Crypaura.A trójai a zsaroló programok táborát gyarapítja. Felhasználói fájlokat titkosít le, majd váltságdíjat követel a helyreállításhoz szükséges információkért. A trójai nem kíméli a Word, az Excel és a PowerPoint állományokat, a fényképeket, valamint a tömörített fájlokat sem. Ezeket egyesével kódolja, majd megváltoztatja a kiterjesztésüket.

Leírás

A trójai nagyon ügyel arra, hogy az áldozatául eső számítógép a fertőzést követően is működőképes maradjon, hiszen a felhasználó így tudja teljesíteni a követeléseket. Ezért a fájlok titkosítása során a következő könyvtárakat mellőzi:
Program Data
Program Files
Program Files (x86)
Windows

1. Létrehozza az alábbi állományokat:
%Application Data%ebola.bmp 
%Start Menu%ProgramsStartupebola.bmp 
%User Startup%ebola.bmp 

2. Az Indítópulthoz hozzáadja a következő parancsikonokat:
%Start Menu%ProgramsStartup[a trójai fájlneve].exe 
%User Startup%[a trójai fájlneve].exe (Windows XP alatt)

3. Rendszerinformációkat gyűjt össze.

4. Kapcsolódik egy távoli weboldalhoz, amelyről fájlokat tölt le.

5. Titkosítja az alábbi kiterjesztésekkel rendelkező állományokat:
1cd
3gp
7z
arj
avi
bak
cdr
cer
cpt
csv
db3
dbf
doc
docx
dt
dwg
gzip
jpeg
jpg
key
m2v
mdb
mkv
mov
mpeg
ods
odt
pdf
ppsx
pptx
ppt
pwm
rar
raw
rtf
temp
tib
wab
xls
xlsx
zip

6. A kompromittált fájlok kiterjesztését kiegészíti az alábbiakkal:
.id-{id}_help”@”antivirusebola.com (az idézőjelek nélkül)

7. Eltávolítja a saját állományait.

8. Megjelenít egy üzenetablakot, amelyben közli a követeléseit.

Hivatkozások

Egyéb referencia: www.isbk.hu