Összefoglaló
A Cryptolocker.AW nevű, Windows operációs rendszereket támadó, zsaroló trójai káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.
Leírás
A kártevőt főként a Neutrino Exploit Kit segítségével terjesztik.
1. Amint aktiválódik, csatlakozik az alábbi kiszolgálóhoz: avtoship.com – POST /123/index.ph
2. Elküldi az alábbi adatokat:
- Operációs rendszer információk
- Felhasználó
- Hosztnév
3. Minden olyan állományt titkosít melynek neve, elérési útja, vagy kiterjesztése nem tartalmazza az alábbi kifejezéseket:
- windows
- program
- .sys
- .com
- boot.ini
- NTDETECT.COM
- Bootfont.bin
- ntldr
- bootmgr
- BOOTNXT
- BOOTSECT.BAK
- NTUSER.DAT
- PDOXUSRS.NET
- .info
- .acm
- .ade
- .adp
- .app
- .asa
- .asp
- .aspx
- .ax
- .bas
- .bat
- .bin
- .bootmgr
- .chm
- .clb
- .cmd
- .cnt
- .cnv
- .com
- .cpl
- .cpx
- .crt
- .csh
- .dll
- .drv
- .dtd
- .exe
- .fxp
- .grp
- .h1s
- .hlp
- .hta
- .ini
- .ime
- .inf
- .ins
- .isp
- .its
- .js
- .jse
- .ksh
- .lnk
- .mad
- .maf
- .mag
- .mam
- .man
- .maq
- .mar
- .mas
- .mat
- .mau
- .mav
- .maw
- .mda
- .mdb
- .mde
- .mdt
- .mdw
- .mdz
- .msc
- .msi
- .msp
- .mst
- .mui
- .nls
- .ntldr
- .ocx
- .ops
- .pal
- .pcd
- .pif
- .prf
- .prg
- .pst
- .reg
- .scf
- .scr
4. Az alábbi séma szerint módosítja a fájl nevét: [ORIGINAL FILE NAME].id-[10 RANDOM DIGITS]_maestro@pizzacrypts.info
5. Minden olyan mappába másolja a Pizzacrypts Info.txt fájlt melyben módosítás történt.
6. Végül megmutatja a titkosítás visszafejtéséhez szükséges leírást (zsaroló levél).
Megoldás
Használjon offline biztonsági mentést.
Támadás típusa
RansomwareHatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: www.malware-traffic-analysis.net
