Összefoglaló
A Cryptolocker.B egy olyan trójai, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja neki eladni a titkosítás feloldásához szükséges jelszót.
Leírás
A trójai a futattatása után a következő helyre másolja magát: %System%msunet.exe.
A vírus a következő bejegyzéseket hozza létre annak érdekében, hogy a Windows minden indításánál futhasson:
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”MSUpdate” = “%System%msunet.exe”
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce”*MSUpdate” = “%System%msunet.exe”
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”MSUpdate” = “%system%msunet.exe”
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce”*MSUpdate” = “%System%msunet.exe”
A vírus a következő bejegyzéseket módosítja:
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”Userinit” = “%System%userinit.exe,,%System%msunet.exe”
- HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon”Userinit” = “%System%userinit.exe,,%System%msunet.exe”
A vírus zárolja az asztalt, titkosítja a fájlokat, majd megjeleníti a “váltságdíj” fizetésének részleteit.
A következő kiterjesztésű fájlokat titkosítja a vírus:
- accdb
- ai
- arw
- bay
- cdr
- cer
- cr2
- crt
- crw
- dbf
- dcr
- der
- dng
- doc
- docm
- docx
- dwg
- dxf
- dxg
- eps
- erf
- indd
- jpe
- jpg
- kdc
- mdb
- mdf
- mef
- mp3
- mp4
- mrw
- nef
- nrw
- odb
- odm
- odp
- ods
- odt
- orf
- p12
- p7b
- p7c
- pdd
- pef
- pem
- pfx
- ppt
- pptm
- pptx
- psd
- pst
- ptx
- r3d
- raf
- raw
- rtf
- rwl
- srf
- srw
- txt
- wb2
- wpd
- wps
- xlk
- xls
- xlsb
- xlsm
- xlsx
A trójai az előzőeken túl alábbi műveleteket hajthatja végre:
- kereshet fájlokat, mappákat
- fel- és letölthet fájlokat
- befejezhet folyamatokat
Ezután a vírus megróbál kapcsolódni a http://strathmorej.byethost3.com/dd/testcon.php távoli helyhez.
Megoldás
Használjon tűzfalat és vírusírtót vagy frissítse azokat.
Támadás típusa
Security bypass (Biztonsági szabályok megkerülése)System access (Rendszer hozzáférés)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com