Crypbee.A trójai


2016. augusztus 16. 06:36

CH azonosító

CH-13495

Angol cím

Crypbee.A trojan

Felfedezés dátuma

2016.08.09.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Crypbee.A trójai káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás

A trójai rengeteg típusú fájlt képes használhatatlanná tenni azáltal, hogy azokat titkosítja. Egyebek mellett dokumentumokat, multimédiás állományokat, adatbázisokat, rajzokat, tömörített fájlokat, forráskódokat is kompromittál. Ezt követően pedig váltságdíjat követel, amit Bitcoinok segítségével lehet kifizetni.

A Crypbee.A a felhasználó átmeneti állományok tárolására szolgáló, Temp mappájába másolja be a fájljait. A titkosítást követően az érintett mappákba elhelyez egy-egy szöveges fájlt, amely a követeléseket tartalmazza. Emellett a Windows Asztalának háttérképét is megváltoztatja. A károkozó ügyel arra, hogy a Windows, valamint a Chrome és a Firefox böngészők működőképesek maradjanak, hogy az esetleges fizetés útjába ne álljanak technikai akadályok.

 

Technikai részletek:

  1. Létrehozza a következő állományokat:
  • %User Temp%taskhost.exe
  • %User Temp%status.z
  • %User Temp%status2.z
  • %User Temp%k.z
  • %User Temp%rtext.txt
  • %User Temp%fnames.txt
  • %Desktop%DECRYPTION INSTRUCTIONS.txt

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunBEECrypt = “%User Temp%taskhost.exe”

3. Megváltoztatja az Asztal háttérképét.

4. Kapcsolódik egy távoli kiszolgálóhoz, és egy weboldalon keresztül adatokat küld, illetve fogad.

5. Egy kiterjesztéslista alapján fájlokat titkosít. Kivételt tesz azokkal az állományokkal, amelyek az alábbi mappákban találhatók:

  • UsersAll Users
  • $Recycle.Bin
  • Program Files (x86)\Google\Chrome
  • Program Files (x86)\Mozilla Firefox
  • Program Files\Google\Chrome
  • Program Files\Mozilla Firefox

6. A kompromittált állományok fájlnevéhez a .crypt kiterjesztést fűzi hozzá.

7. Minden olyan mappába, amelyben legalább egy fájlt titkosított, bemásol egy szöveges fájlt a követeléseivel.

Megoldás

Használjon offline biztonsági mentést.

Támadás típusa

Ransomware
Trójai

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.trendmicro.com

Legfrissebb sérülékenységek
CVE-2024-41713 – Mitel MiCollab Path Traversal sérülékenysége
CVE-2024-55550 – Mitel MiCollab Path Traversal sérülékenysége
CVE-2021-44207 – Acclaim Systems USAHERDS Use of Hard-Coded Credentials sérülékenysége
CVE-2024-12356 – BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) Command Injection sérülékenysége
CVE-2022-23227 – NUUO NVRmini2 Devices Missing Authentication sérülékenysége
CVE-2024-51818 – Fancy Product Designer SQL injection sérülékenysége
CVE-2024-51919 – Fancy Product Designer ellenőrizetlen fájlfeltöltési sérülékenysége
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
Tovább a sérülékenységekhez »