Crypbee.A trójai


2016. augusztus 16. 06:36

CH azonosító

CH-13495

Angol cím

Crypbee.A trojan

Felfedezés dátuma

2016.08.09.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Crypbee.A trójai káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás

A trójai rengeteg típusú fájlt képes használhatatlanná tenni azáltal, hogy azokat titkosítja. Egyebek mellett dokumentumokat, multimédiás állományokat, adatbázisokat, rajzokat, tömörített fájlokat, forráskódokat is kompromittál. Ezt követően pedig váltságdíjat követel, amit Bitcoinok segítségével lehet kifizetni.

A Crypbee.A a felhasználó átmeneti állományok tárolására szolgáló, Temp mappájába másolja be a fájljait. A titkosítást követően az érintett mappákba elhelyez egy-egy szöveges fájlt, amely a követeléseket tartalmazza. Emellett a Windows Asztalának háttérképét is megváltoztatja. A károkozó ügyel arra, hogy a Windows, valamint a Chrome és a Firefox böngészők működőképesek maradjanak, hogy az esetleges fizetés útjába ne álljanak technikai akadályok.

 

Technikai részletek:

  1. Létrehozza a következő állományokat:
  • %User Temp%taskhost.exe
  • %User Temp%status.z
  • %User Temp%status2.z
  • %User Temp%k.z
  • %User Temp%rtext.txt
  • %User Temp%fnames.txt
  • %Desktop%DECRYPTION INSTRUCTIONS.txt

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunBEECrypt = “%User Temp%taskhost.exe”

3. Megváltoztatja az Asztal háttérképét.

4. Kapcsolódik egy távoli kiszolgálóhoz, és egy weboldalon keresztül adatokat küld, illetve fogad.

5. Egy kiterjesztéslista alapján fájlokat titkosít. Kivételt tesz azokkal az állományokkal, amelyek az alábbi mappákban találhatók:

  • UsersAll Users
  • $Recycle.Bin
  • Program Files (x86)\Google\Chrome
  • Program Files (x86)\Mozilla Firefox
  • Program Files\Google\Chrome
  • Program Files\Mozilla Firefox

6. A kompromittált állományok fájlnevéhez a .crypt kiterjesztést fűzi hozzá.

7. Minden olyan mappába, amelyben legalább egy fájlt titkosított, bemásol egy szöveges fájlt a követeléseivel.

Megoldás

Használjon offline biztonsági mentést.

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.trendmicro.com

Legfrissebb sérülékenységek
CVE-2026-33825 – Microsoft Defender Elevation of Privilege sérülékenység
CVE-2019-11510 – Ivanti Pulse Connect Secure Arbitrary File Read sérülékenység
CVE-2018-8453 – Microsoft Win32k Privilege Escalation sérülékenység
CVE-2019-0708 – Microsoft Remote Desktop Services Remote Code Execution sérülékenység
CVE-2022-22965 – Spring Framework JDK 9+ Remote Code Execution sérülékenység
CVE-2026-32201 – Microsoft SharePoint Server Improper Input Validation sérülékenység
CVE-2009-0238 – Microsoft Office Remote Code Execution sérülékenység
CVE-2026-34621 – Adobe Acrobat and Reader Prototype Pollution sebezhetőség
CVE-2020-9715 – Adobe Acrobat Use-After-Free sebezhetőség
CVE-2023-36424 – Microsoft Windows Out-of-Bounds Read sérülékenység
Tovább a sérülékenységekhez »