Cryproto.A trójai


2016. január 26. 23:05

CH azonosító

CH-12980

Angol cím

Ransom: Win32/Cryproto.A

Felfedezés dátuma

2016.01.25.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Cryproto.A trójai a zsaroló programok közé tartozik. Azonban ez esetben semmiféle üzenetet nem jelenít meg a ténykedéséről és a követeléseiről. Ehelyett az általa tönkretett fájlok kiterjesztését egészíti ki olyan karaktersorozatokkal, amelyek egy e-mail címet is tartalmaznak. A felhasználó – amellett, hogy nem tudja megnyitni az állományait – csak annyit lát, hogy a fájlok nevébe bekerült egy gmailes e-mail cím. Nyilván azzal a céllal, hogy ide lehet írni a dekódoló kulcs megszerzése érdekében. Természetesen ezúttal sincs semmi garancia arra, hogy a csalók valóban együttműködőek lesznek a károk felszámolásában.

A Cryproto.A további veszélye, hogy a Windows rendszerállományait is képes kódolni. Ennek következtében a fertőzést követő első rendszerindítás is sikertelen lesz, ugyanis az operációs rendszer nem tud betöltődni.

Leírás

Amikor a Cryproto.A trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%ProgramFiles%adobeadobe help viewer1.0ahv.exe
%TEMP%lixclhbp.exe
%Indítópult%guppmlcp.lnk

2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKCUSoftwareMicrosoftWindowsCurrentVersionRungUPpMLCP=”%TEMP%lixclhbp.exe”

3. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.

4. Fájlokat titkosít.

5. A kompromittált fájlok kiterjesztését kiegészíti különféle karaktersorozatokkal, amik e-mail címet is tartalmaznak az alábbiak szerint:
!__[e-mail cím]______.crypt or _____.roto

6. Titkosítja a rendszerfájlokat, ezért a Windows-t is használhatatlanná tudja tenni.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se
  • Használjon offline biztonsági mentést.
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool


Támadás típusa

Crypthographical (Titkosítás)
Information disclosure (Információ/adat szivárgás)
Ransomware
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.microsoft.com
Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2024-41713 – Mitel MiCollab Path Traversal sérülékenysége
CVE-2024-55550 – Mitel MiCollab Path Traversal sérülékenysége
CVE-2021-44207 – Acclaim Systems USAHERDS Use of Hard-Coded Credentials sérülékenysége
CVE-2024-12356 – BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) Command Injection sérülékenysége
CVE-2022-23227 – NUUO NVRmini2 Devices Missing Authentication sérülékenysége
CVE-2024-51818 – Fancy Product Designer SQL injection sérülékenysége
CVE-2024-51919 – Fancy Product Designer ellenőrizetlen fájlfeltöltési sérülékenysége
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
Tovább a sérülékenységekhez »