Cryproto.A trójai


2016. január 26. 23:05

CH azonosító

CH-12980

Angol cím

Ransom: Win32/Cryproto.A

Felfedezés dátuma

2016.01.25.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Cryproto.A trójai a zsaroló programok közé tartozik. Azonban ez esetben semmiféle üzenetet nem jelenít meg a ténykedéséről és a követeléseiről. Ehelyett az általa tönkretett fájlok kiterjesztését egészíti ki olyan karaktersorozatokkal, amelyek egy e-mail címet is tartalmaznak. A felhasználó – amellett, hogy nem tudja megnyitni az állományait – csak annyit lát, hogy a fájlok nevébe bekerült egy gmailes e-mail cím. Nyilván azzal a céllal, hogy ide lehet írni a dekódoló kulcs megszerzése érdekében. Természetesen ezúttal sincs semmi garancia arra, hogy a csalók valóban együttműködőek lesznek a károk felszámolásában.

A Cryproto.A további veszélye, hogy a Windows rendszerállományait is képes kódolni. Ennek következtében a fertőzést követő első rendszerindítás is sikertelen lesz, ugyanis az operációs rendszer nem tud betöltődni.

Leírás

Amikor a Cryproto.A trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%ProgramFiles%adobeadobe help viewer1.0ahv.exe
%TEMP%lixclhbp.exe
%Indítópult%guppmlcp.lnk

2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKCUSoftwareMicrosoftWindowsCurrentVersionRungUPpMLCP=”%TEMP%lixclhbp.exe”

3. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.

4. Fájlokat titkosít.

5. A kompromittált fájlok kiterjesztését kiegészíti különféle karaktersorozatokkal, amik e-mail címet is tartalmaznak az alábbiak szerint:
!__[e-mail cím]______.crypt or _____.roto

6. Titkosítja a rendszerfájlokat, ezért a Windows-t is használhatatlanná tudja tenni.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se
  • Használjon offline biztonsági mentést.
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool


Támadás típusa

Crypthographical (Titkosítás)
Information disclosure (Információ/adat szivárgás)
Ransomware
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.microsoft.com
Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »