Cryptolocker.AB trójai

CH azonosító

CH-12829

Angol cím

Cryptolocker.AB trojan

Felfedezés dátuma

2015.11.22.

Súlyosság

Közepes

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Cryptolocker.AA egy olyan trójai, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás

Ha a trójai aktiválódik létrehozza az alábbi fájlokat:

  • %Windir%DebugReadDecryptFilesHere.txt
  • %UserProfile%[NAME OF COMPROMISED COMPUTER][SYSTEM DRIVE SERIAL NUMBER].exe
  • %UserProfile%z2.bmp

Létrehozza az alábbi regisztrációs bejegyzést, hogy a kártevő a Windows-al együtt indulhasson:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Microsoft Corporation” = “%UserProfile%[NAME OF COMPROMISED COMPUTER][SYSTEM DRIVE SERIAL NUMBER].exe”

A következőkben a kártevő megkeresi az alábbi kiterjesztésű fájlokat és titkosítja őket:

  • .3dm
  • .3ds
  • .3fr
  • .3g2
  • .3gp
  • .7z
  • .ACCDB
  • .ach
  • .ai
  • .aiff
  • .arw
  • .asf
  • .asx
  • .avi
  • .back
  • .backup
  • .bak
  • .BAY
  • .bin
  • .blend
  • .c
  • .cdr
  • .cer
  • .cpp
  • .cr2
  • .crt
  • .crw
  • .cs
  • .dat
  • .db
  • .DBF
  • .dcr
  • .dds
  • .DER
  • .des
  • .dit
  • .DNG
  • .doc
  • .docm
  • .DOCX
  • .dtd
  • .dwg
  • .DXF
  • .dxg
  • .edb
  • .eml
  • .eps
  • .ERF
  • .fla
  • .flac
  • .flvv
  • .gif
  • .groups
  • .h
  • .hdd
  • .hpp
  • .html
  • .iif
  • .INDD
  • .java
  • .jpe
  • .JPEG
  • .jpg
  • .jsp
  • .kdc
  • .key
  • .kwm
  • .log
  • .lua
  • .m
  • .m2ts
  • .m4p
  • .m4v
  • .max
  • .mdb
  • .mdf
  • .MEF
  • .mkv
  • .mov
  • .mp3
  • .mp4
  • .mpeg
  • .mpg
  • .MRW
  • .msg
  • .nd
  • .ndf
  • .nef
  • .nk2
  • .nrw
  • .nvram
  • .oab
  • .obj
  • .ODB
  • .odc
  • .odm
  • .ODP
  • .ods
  • .odt
  • .ogg
  • .orf
  • .ost
  • .P12
  • .p7b
  • .P7C
  • .pab
  • .pas
  • .pct
  • .pdb
  • .PDD
  • .pdf
  • .PEF
  • .pem
  • .pfx
  • .php
  • .pif
  • .pl
  • .png
  • .pps
  • .ppt
  • .PPTM
  • .pptx
  • .prf
  • .ps
  • .PSD
  • .pst
  • .PTX
  • .pwm
  • .py
  • .qba
  • .qbb
  • .qbm
  • .qbr
  • .qbw
  • .qbx
  • .qby
  • .qcow
  • .qcow2
  • .qed
  • .R3D
  • .raf
  • .RAW
  • .rm
  • .rtf
  • .rvt
  • .rw2
  • .rwl
  • .safe
  • .sav
  • .sql
  • .SR2
  • .SRF
  • .srt
  • .srw
  • .stm
  • .svg
  • .swf
  • .tex
  • .tga
  • .thm
  • .tlg
  • .vbox
  • .vdi
  • .vhd
  • .vhdx
  • .vmdk
  • .vmsd
  • .vmx
  • .vmxf
  • .vob
  • .wav
  • .WB2
  • .wma
  • .wmv
  • .wpd
  • .wps
  • .X3F
  • .XLK
  • .xlr
  • .XLS
  • .xlsb
  • .xlsm
  • .xlsx
  • .yuv

Az alábbi karakterláncot fűzi hozzá a titkosított fájlokhoz:

.crinf

Ezek után a trójai törli a Windows árnyékmásolatait, és letiltja a Windows Indítási javítást.

Leállítja az alábbi folyamatokat:

  • msconfig.exe
  • rstrui.exe
  • tcpview.exe
  • procexp.exe
  • procmon.exe
  • regmon.exe
  • wireshark.exe
  • LordPE.exe
  • regedit.exe
  • cmd.exe
  • filemon.exe
  • procexp64.exe

Csatlakozik az alábbi távoli kiszolgálóhoz:

[http://]qbstdn6k7iivyki2.onion.direct/lending/bot[REMOVED]

Végül megváltoztatja a háttérképet és egy üzenetet mutat, mely segítséget nyújt a visszafejtéshez szükséges kulcs megvásárlásához.

Megoldás

  • Használjon offline biztonsági mentést.
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool

Hivatkozások

Gyártói referencia: www.symantec.com