Összefoglaló
A Cryptolocker.AA egy olyan trójai, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.
Leírás
Ha a trójai aktiválódik létrehozza az alábbi fájlokat:
- %Windir%DebugReadDecryptFilesHere.txt
- %UserProfile%[NAME OF COMPROMISED COMPUTER][SYSTEM DRIVE SERIAL NUMBER].exe
- %UserProfile%z2.bmp
Létrehozza az alábbi regisztrációs bejegyzést, hogy a kártevő a Windows-al együtt indulhasson:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Microsoft Corporation” = “%UserProfile%[NAME OF COMPROMISED COMPUTER][SYSTEM DRIVE SERIAL NUMBER].exe”
A következőkben a kártevő megkeresi az alábbi kiterjesztésű fájlokat és titkosítja őket:
- .3dm
- .3ds
- .3fr
- .3g2
- .3gp
- .7z
- .ACCDB
- .ach
- .ai
- .aiff
- .arw
- .asf
- .asx
- .avi
- .back
- .backup
- .bak
- .BAY
- .bin
- .blend
- .c
- .cdr
- .cer
- .cpp
- .cr2
- .crt
- .crw
- .cs
- .dat
- .db
- .DBF
- .dcr
- .dds
- .DER
- .des
- .dit
- .DNG
- .doc
- .docm
- .DOCX
- .dtd
- .dwg
- .DXF
- .dxg
- .edb
- .eml
- .eps
- .ERF
- .fla
- .flac
- .flvv
- .gif
- .groups
- .h
- .hdd
- .hpp
- .html
- .iif
- .INDD
- .java
- .jpe
- .JPEG
- .jpg
- .jsp
- .kdc
- .key
- .kwm
- .log
- .lua
- .m
- .m2ts
- .m4p
- .m4v
- .max
- .mdb
- .mdf
- .MEF
- .mkv
- .mov
- .mp3
- .mp4
- .mpeg
- .mpg
- .MRW
- .msg
- .nd
- .ndf
- .nef
- .nk2
- .nrw
- .nvram
- .oab
- .obj
- .ODB
- .odc
- .odm
- .ODP
- .ods
- .odt
- .ogg
- .orf
- .ost
- .P12
- .p7b
- .P7C
- .pab
- .pas
- .pct
- .pdb
- .PDD
- .PEF
- .pem
- .pfx
- .php
- .pif
- .pl
- .png
- .pps
- .ppt
- .PPTM
- .pptx
- .prf
- .ps
- .PSD
- .pst
- .PTX
- .pwm
- .py
- .qba
- .qbb
- .qbm
- .qbr
- .qbw
- .qbx
- .qby
- .qcow
- .qcow2
- .qed
- .R3D
- .raf
- .RAW
- .rm
- .rtf
- .rvt
- .rw2
- .rwl
- .safe
- .sav
- .sql
- .SR2
- .SRF
- .srt
- .srw
- .stm
- .svg
- .swf
- .tex
- .tga
- .thm
- .tlg
- .vbox
- .vdi
- .vhd
- .vhdx
- .vmdk
- .vmsd
- .vmx
- .vmxf
- .vob
- .wav
- .WB2
- .wma
- .wmv
- .wpd
- .wps
- .X3F
- .XLK
- .xlr
- .XLS
- .xlsb
- .xlsm
- .xlsx
- .yuv
Az alábbi karakterláncot fűzi hozzá a titkosított fájlokhoz:
.crinf
Ezek után a trójai törli a Windows árnyékmásolatait, és letiltja a Windows Indítási javítást.
Leállítja az alábbi folyamatokat:
- msconfig.exe
- rstrui.exe
- tcpview.exe
- procexp.exe
- procmon.exe
- regmon.exe
- wireshark.exe
- LordPE.exe
- regedit.exe
- cmd.exe
- filemon.exe
- procexp64.exe
Csatlakozik az alábbi távoli kiszolgálóhoz:
[http://]qbstdn6k7iivyki2.onion.direct/lending/bot[REMOVED]
Végül megváltoztatja a háttérképet és egy üzenetet mutat, mely segítséget nyújt a visszafejtéshez szükséges kulcs megvásárlásához.
Megoldás
- Használjon offline biztonsági mentést.
- Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool
Támadás típusa
RansomwareHatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.symantec.com
