Összefoglaló
A Cryptolocker trójai legújabb, „R”-betűjelű variánsa nagyon gondosan ügyel arra, hogy olyan számítógépet ne fertőzzön meg, amely a leleplezését, vizsgálatát szolgálhatja. Ennek megfelelően alaposan ellenőrzi, hogy az adott rendszer nem virtualizált-e, illetve nem sandbox környezetben fut. Amennyiben azt érzékeli, hogy nem megfelelő számára a számítógép, akkor rögtön leáll. Ellenkező esetben pedig nekilát a feladatainak elvégzéséhez.
A Cryptolocker.R minden dokumentumot, képet, multimédiás állományt, adatbázist, levelezéssel kapcsolatos adatállományt, CAD-rajzot titkosít. Ezt követően minden olyan könyvtárba, amelyben kompromittált fájlokat, egy szöveges állományt helyez el. Ezt megnyitva a felhasználó értesülhet arról, hogy mi történt a számítógépével, és miért is nem tudja használni az állományait.
A megfelelő védekezéshez ezúttal is elengedhetetlen a biztonsági mentések rendszeres készítése és a megfelelő tárolása.
Leírás
1. Ellenőrzi, hogy léteznek-e a következő folyamatok:
wireshark.exe
idaq.exe
idag.exe
ollydbg.exe
idag64.exe
pexplorer.exe
lordpe.exe
hiew32.exe
bindiff.exe
procexp.exe
2. Ellenőrzi, hogy a számítógép virtuális környezetben fut-e.
3. Ellenőrzi a számítógép nevét.
4. Amennyiben virtuális gépre vagy sandbox környezetre utaló jeleket észlel, akkor azonnal leáll.
5. Kapcsolódik egy távoli kiszolgálóhoz.
6. Egy batch állomány segítségével .exe kiterjesztésű fájlokat töröl.
7. A powercfg.exe parancs segítségével meggátolja, hogy a számítógép alvó állapotba kerüljön.
8. Eltávolítja az árnyékmásolatokat.
9. E-mailben továbbítja a számítógép nevét és IP címét.
10. Fájlokat titkosít.
11. A titkosított fájlok kiterjesztését egy „.just” kifejezéssel egészíti ki.
12. Minden olyan könyvtárba, ahol fájlt titkosít, bemásol egy MESSAGE.txt nevű állományt.
Megoldás
Az elkódolt állományok visszaállítása biztonsági mentésekből lehetséges.
Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE).
Támadás típusa
Crypthographical (Titkosítás)Hijacking (Visszaélés)
Ransomware
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu
