Összefoglaló
A Cryptolocker.AT nevű, Windows operációs rendszereket támadó, zsaroló trójai káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.
Leírás
1. Mikor aktiválódik létrehozza az alábbi állományokat:
- %Temp%c.exe
- %Temp%8x8x8
- %Temp%PassW8.txt
- %Temp%wl.jpg
- %Temp%x.exe
- %Temp%y.exe
- %UserProfile%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartupMicroCop.lnk
2. Létrehozza az alábbi regisztrációs bejegyzést:
- HKEY_CURRENT_USERControl PanelDesktop”Wallpaper” %Temp%wl.jpg
3. Ellopja az alábbi alkalmazások információit:
- FileZilla
- Skype
- Chrome
- Opera
- Firefox
4. Kapcsolódik a 82.192.86.199 kiszolgálóra.
5. Az alábbi helyen lévő fáljokat titkosítja:
- Desktop
- %UserProfile%Music
- %UserProfile%Pictures
- %UserProfile%Videos
- %UserProfile%Documents
- C:UsersPublicPictures
- C:UsersPublicVideos
6. Végül megmutatja a titkosítás visszafejtéséhez szükséges leírást (zsarolólevél).
Megoldás
Használjon offline biztonsági mentést.
Támadás típusa
RansomwareHatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com