Cryptolocker.Q trójai


2015. április 20. 08:20

CH azonosító

CH-12161

Angol cím

Trojan.Cryptolocker.Q

Felfedezés dátuma

2015.04.19.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Cryptolocker trójai “Q” betűjelű variánsa a legfontosabb funkcióit tekintve mindenben hasonlít az elődjeire. Ennek megfelelően a fertőzött számítógépeken titkosítja a felhasználó állományait, majd váltságdíjat követel a helyreállításhoz szükséges kulcsokért. Ez esetben 0,5 bitcoinnal érik be a csalók, akik 168 óra gondolkodási időt adnak a felhasználónak arra, hogy végül teljesítse a követeléseket. A csalók állítása szerint ezt követően törlik a dekódoló kulcsot, így a kompromittált fájlok már nem lesznek helyreállíthatóak.

A Cryptolocker.Q egy windks.exe fájl formájában terjed, és a tevékenysége során egy vezérlőszerverrel is felveszi a kapcsolatot annak érdekében, hogy feltöltse a rendszerből kigyűjtött, illetve a titkosítás során alkalmazott információkat. Eközben pedig megjelenít egy ablakot, amelyben közli a rombolás megtörténtét a felhasználóval, és egyben lehetőséget ad a fizetés megkezdésére.

Leírás

1. Létrehozza a következő állományokat:
%UserProfile%/Application Data/01. Untrust Us.mp3
%UserProfile%/Application Data/WinDsk/windsk.exe
%Windir%/SoftwareDistribution/DataStore/Logs/tmp.edb

2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”wincl” = “%UserProfile%Application DataWinDskwindsk.exe”
HKEY_CURRENT_USERSoftwareVB and VBA Program SettingsCLOCKSData”S” = “INSTALL_OK”
HKEY_CURRENT_USERSoftwareVB and VBA Program SettingsCLOCKEData”E” = “4/17/2015 6:52:58 PM”

3. A regisztrációs adatbázisból kitörli a következő bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer”CleanShutdown” = “0”

4. Csatlakozik egy távoli kiszolgálóhoz.

5. Különböző kiterjesztésekkel rendelkező állományokat titkosít le.

6. Megzsarolja a felhasználót.

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
backdoor

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »