Crypbee.A trójai

CH azonosító

CH-13495

Angol cím

Crypbee.A trojan

Felfedezés dátuma

2016.08.09.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Crypbee.A trójai káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás

A trójai rengeteg típusú fájlt képes használhatatlanná tenni azáltal, hogy azokat titkosítja. Egyebek mellett dokumentumokat, multimédiás állományokat, adatbázisokat, rajzokat, tömörített fájlokat, forráskódokat is kompromittál. Ezt követően pedig váltságdíjat követel, amit Bitcoinok segítségével lehet kifizetni.

A Crypbee.A a felhasználó átmeneti állományok tárolására szolgáló, Temp mappájába másolja be a fájljait. A titkosítást követően az érintett mappákba elhelyez egy-egy szöveges fájlt, amely a követeléseket tartalmazza. Emellett a Windows Asztalának háttérképét is megváltoztatja. A károkozó ügyel arra, hogy a Windows, valamint a Chrome és a Firefox böngészők működőképesek maradjanak, hogy az esetleges fizetés útjába ne álljanak technikai akadályok.

 

Technikai részletek:

  1. Létrehozza a következő állományokat:
  • %User Temp%taskhost.exe
  • %User Temp%status.z
  • %User Temp%status2.z
  • %User Temp%k.z
  • %User Temp%rtext.txt
  • %User Temp%fnames.txt
  • %Desktop%DECRYPTION INSTRUCTIONS.txt

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunBEECrypt = “%User Temp%taskhost.exe”

3. Megváltoztatja az Asztal háttérképét.

4. Kapcsolódik egy távoli kiszolgálóhoz, és egy weboldalon keresztül adatokat küld, illetve fogad.

5. Egy kiterjesztéslista alapján fájlokat titkosít. Kivételt tesz azokkal az állományokkal, amelyek az alábbi mappákban találhatók:

  • UsersAll Users
  • $Recycle.Bin
  • Program Files (x86)\Google\Chrome
  • Program Files (x86)\Mozilla Firefox
  • Program Files\Google\Chrome
  • Program Files\Mozilla Firefox

6. A kompromittált állományok fájlnevéhez a .crypt kiterjesztést fűzi hozzá.

7. Minden olyan mappába, amelyben legalább egy fájlt titkosított, bemásol egy szöveges fájlt a követeléseivel.

Megoldás

Használjon offline biztonsági mentést.

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.trendmicro.com


Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »