Cryproto.A trójai


2016. január 26. 23:05

CH azonosító

CH-12980

Angol cím

Ransom: Win32/Cryproto.A

Felfedezés dátuma

2016.01.25.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Cryproto.A trójai a zsaroló programok közé tartozik. Azonban ez esetben semmiféle üzenetet nem jelenít meg a ténykedéséről és a követeléseiről. Ehelyett az általa tönkretett fájlok kiterjesztését egészíti ki olyan karaktersorozatokkal, amelyek egy e-mail címet is tartalmaznak. A felhasználó – amellett, hogy nem tudja megnyitni az állományait – csak annyit lát, hogy a fájlok nevébe bekerült egy gmailes e-mail cím. Nyilván azzal a céllal, hogy ide lehet írni a dekódoló kulcs megszerzése érdekében. Természetesen ezúttal sincs semmi garancia arra, hogy a csalók valóban együttműködőek lesznek a károk felszámolásában.

A Cryproto.A további veszélye, hogy a Windows rendszerállományait is képes kódolni. Ennek következtében a fertőzést követő első rendszerindítás is sikertelen lesz, ugyanis az operációs rendszer nem tud betöltődni.

Leírás

Amikor a Cryproto.A trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%ProgramFiles%adobeadobe help viewer1.0ahv.exe
%TEMP%lixclhbp.exe
%Indítópult%guppmlcp.lnk

2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKCUSoftwareMicrosoftWindowsCurrentVersionRungUPpMLCP=”%TEMP%lixclhbp.exe”

3. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.

4. Fájlokat titkosít.

5. A kompromittált fájlok kiterjesztését kiegészíti különféle karaktersorozatokkal, amik e-mail címet is tartalmaznak az alábbiak szerint:
!__[e-mail cím]______.crypt or _____.roto

6. Titkosítja a rendszerfájlokat, ezért a Windows-t is használhatatlanná tudja tenni.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se
  • Használjon offline biztonsági mentést.
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool


Támadás típusa

Crypthographical (Titkosítás)
Information disclosure (Információ/adat szivárgás)
Ransomware
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.microsoft.com
Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2024-20358 – Cisco ASA és FTD sérülékenysége
CVE-2024-20359 – Cisco ASA és FTD sérülékenysége
CVE-2024-20353 – Cisco ASA és FTD sérülékenysége
CVE-2024-31857 – WordPress Forminator plugin sérülékenysége
CVE-2024-31077 – WordPress Forminator plugin sérülékenysége
CVE-2024-28890 – WordPress Forminator plugin sérülékenysége
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
Tovább a sérülékenységekhez »