Összefoglaló
A Cryptolocker trójai “Q” betűjelű variánsa a legfontosabb funkcióit tekintve mindenben hasonlít az elődjeire. Ennek megfelelően a fertőzött számítógépeken titkosítja a felhasználó állományait, majd váltságdíjat követel a helyreállításhoz szükséges kulcsokért. Ez esetben 0,5 bitcoinnal érik be a csalók, akik 168 óra gondolkodási időt adnak a felhasználónak arra, hogy végül teljesítse a követeléseket. A csalók állítása szerint ezt követően törlik a dekódoló kulcsot, így a kompromittált fájlok már nem lesznek helyreállíthatóak.
A Cryptolocker.Q egy windks.exe fájl formájában terjed, és a tevékenysége során egy vezérlőszerverrel is felveszi a kapcsolatot annak érdekében, hogy feltöltse a rendszerből kigyűjtött, illetve a titkosítás során alkalmazott információkat. Eközben pedig megjelenít egy ablakot, amelyben közli a rombolás megtörténtét a felhasználóval, és egyben lehetőséget ad a fizetés megkezdésére.
Leírás
1. Létrehozza a következő állományokat:
%UserProfile%/Application Data/01. Untrust Us.mp3
%UserProfile%/Application Data/WinDsk/windsk.exe
%Windir%/SoftwareDistribution/DataStore/Logs/tmp.edb
2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”wincl” = “%UserProfile%Application DataWinDskwindsk.exe”
HKEY_CURRENT_USERSoftwareVB and VBA Program SettingsCLOCKSData”S” = “INSTALL_OK”
HKEY_CURRENT_USERSoftwareVB and VBA Program SettingsCLOCKEData”E” = “4/17/2015 6:52:58 PM”
3. A regisztrációs adatbázisból kitörli a következő bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer”CleanShutdown” = “0”
4. Csatlakozik egy távoli kiszolgálóhoz.
5. Különböző kiterjesztésekkel rendelkező állományokat titkosít le.
6. Megzsarolja a felhasználót.
Megoldás
Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com