Összefoglaló
A Cryptolocker “J” betűjelű variánsa az elődjei által kitaposott útra lépett, és a fertőzött számítógépen található állományok titkosításával, majd a felhasználó megzsarolásával próbálja pénzhez juttatni a terjesztőit. A trójaihoz egy kiterjesztéslista tartozik, amely alapján kiválogatja a manipulálandó fájlokat. Miután ezek titkosítását elvégzi, minden kompromittált állomány nevét kiegészíti egy e-mail címmel. Ezzel próbálja rávenni a felhasználót, hogy vegye fel a kapcsolatot a csalókkal.
A Cryptolocker.J a Windows Asztalának háttérképét is megváltoztatja. Különféle képeket helyez el, amelyek orosz nyelven közlik a felhasználóval, hogy mi is történt a számítógépével, illetve hogy miként dekódolhatja a fájljait.
A Cryptolocker.J az Indítópultba másolja be a saját fájljait, és ezzel éri el, hogy a Windows minden egyes újraindításakor be tudjon töltődni.
Leírás
1. Létrehozza a következő állományokat:
%UserProfile%Start MenuProgramsStartup[fájlnév].exe
%UserProfile%Start MenuProgramsStartup[fájlnév].bmp
%UserProfile%Application Data[fájlnév].bmp
2. Módosítja a regisztrációs adatbázis alábbi értékét:
HKEY_CURRENT_USERControl PanelDesktop”Wallpaper”=”%UserProfile%Application Data[fájlnév].bmp”
3.Titkosítja a következő kiterjesztésekkel rendelkező állományokat:
.jpg
.jpeg
.doc
.rtf
.xls
.zip
.db3
.rar
.7z
.kwm
.docx
.pdf
.arj
.csv
.xlsm
.key
.cer
.mpeg
.accdb
.psd
.mov
.odt
.ppt
.mdb
.dwg
.xml
.dt
.gsf
.pps
.ppt
.xls
.1cd
.dbf
4. A titkosított fájlok nevéhez egy e-mail címet fűz hozzá.
5. Módosítja az Asztal háttérképét, és közli a követeléseit.
Támadás típusa
Crypthographical (Titkosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.isbk.hu
Gyártói referencia: www.symantec.com