Cryptolocker.B trójai


2013. december 24. 13:00

CH azonosító

CH-10235

Angol cím

Trojan.Cryptolocker.B

Felfedezés dátuma

2013.12.22.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 7

Érintett verziók

Windows 2000
Windows 7
Windows 95
Windows 98
Windows Me
Windows NT
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

Összefoglaló

A Cryptolocker.B egy olyan trójai, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja neki eladni a titkosítás feloldásához szükséges jelszót.

Leírás

A trójai a futattatása után a következő helyre másolja magát: %System%msunet.exe.

A vírus a következő bejegyzéseket hozza létre annak érdekében, hogy a Windows minden indításánál futhasson:

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”MSUpdate” = “%System%msunet.exe”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce”*MSUpdate” = “%System%msunet.exe”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”MSUpdate” = “%system%msunet.exe”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce”*MSUpdate” = “%System%msunet.exe”

A vírus a következő bejegyzéseket módosítja:

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”Userinit” = “%System%userinit.exe,,%System%msunet.exe”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon”Userinit” = “%System%userinit.exe,,%System%msunet.exe”

A vírus zárolja az asztalt, titkosítja a fájlokat, majd megjeleníti a “váltságdíj” fizetésének részleteit.

A következő kiterjesztésű fájlokat titkosítja a vírus:

  • accdb
  • ai
  • arw
  • bay
  • cdr
  • cer
  • cr2
  • crt
  • crw
  • dbf
  • dcr
  • der
  • dng
  • doc
  • docm
  • docx
  • dwg
  • dxf
  • dxg
  • eps
  • erf
  • indd
  • jpe
  • jpg
  • kdc
  • mdb
  • mdf
  • mef
  • mp3
  • mp4
  • mrw
  • nef
  • nrw
  • odb
  • odm
  • odp
  • ods
  • odt
  • orf
  • p12
  • p7b
  • p7c
  • pdd
  • pef
  • pem
  • pfx
  • ppt
  • pptm
  • pptx
  • psd
  • pst
  • ptx
  • r3d
  • raf
  • raw
  • rtf
  • rwl
  • srf
  • srw
  • txt
  • wb2
  • wpd
  • wps
  • xlk
  • xls
  • xlsb
  • xlsm
  • xlsx

A trójai az előzőeken túl alábbi műveleteket hajthatja végre:

  • kereshet fájlokat, mappákat
  • fel- és letölthet fájlokat
  • befejezhet folyamatokat

Ezután a vírus megróbál kapcsolódni a http://strathmorej.byethost3.com/dd/testcon.php távoli helyhez.

 

Megoldás

Használjon tűzfalat és vírusírtót vagy frissítse azokat.

Támadás típusa

Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége
CVE-2021-22555 – Linux Kernel Heap Out-of-Bounds Write sérülékenysége
CVE-2025-4008 – Smartbedded Meteobridge Command Injection sérülékenysége
CVE-2015-7755 – Juniper ScreenOS Improper Authentication sérülékenysége
CVE-2017-1000353 – Jenkins RCE sérülékenysége
CVE-2014-6278 – GNU Bash OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »