Cryproto.A trójai

CH azonosító

CH-12980

Angol cím

Ransom: Win32/Cryproto.A

Felfedezés dátuma

2016.01.25.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Cryproto.A trójai a zsaroló programok közé tartozik. Azonban ez esetben semmiféle üzenetet nem jelenít meg a ténykedéséről és a követeléseiről. Ehelyett az általa tönkretett fájlok kiterjesztését egészíti ki olyan karaktersorozatokkal, amelyek egy e-mail címet is tartalmaznak. A felhasználó – amellett, hogy nem tudja megnyitni az állományait – csak annyit lát, hogy a fájlok nevébe bekerült egy gmailes e-mail cím. Nyilván azzal a céllal, hogy ide lehet írni a dekódoló kulcs megszerzése érdekében. Természetesen ezúttal sincs semmi garancia arra, hogy a csalók valóban együttműködőek lesznek a károk felszámolásában.

A Cryproto.A további veszélye, hogy a Windows rendszerállományait is képes kódolni. Ennek következtében a fertőzést követő első rendszerindítás is sikertelen lesz, ugyanis az operációs rendszer nem tud betöltődni.

Leírás

Amikor a Cryproto.A trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%ProgramFiles%adobeadobe help viewer1.0ahv.exe
%TEMP%lixclhbp.exe
%Indítópult%guppmlcp.lnk

2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKCUSoftwareMicrosoftWindowsCurrentVersionRungUPpMLCP=”%TEMP%lixclhbp.exe”

3. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.

4. Fájlokat titkosít.

5. A kompromittált fájlok kiterjesztését kiegészíti különféle karaktersorozatokkal, amik e-mail címet is tartalmaznak az alábbiak szerint:
!__[e-mail cím]______.crypt or _____.roto

6. Titkosítja a rendszerfájlokat, ezért a Windows-t is használhatatlanná tudja tenni.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se
  • Használjon offline biztonsági mentést.
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool