Cryptolocker.S trójai

CH azonosító

CH-12224

Angol cím

Trojan.Cryptolocker.S

Felfedezés dátuma

2015.05.11.

Súlyosság

Közepes

Érintett rendszerek

Windows

Érintett verziók

Windows

Összefoglaló

Cryptolocker trójai legújabb, “S”-betűjelű variánsa jelent meg. 

Zip tömörített állományokon keresztül terjed, amelyekben ‘PENALTY.VBS’ nevű fertőzött file található. 

Leírás

A trójai futáskor a következő webhelyről letölt egy file-t:[http://]www.dhl.sk.origin.dhl.com/content/dam/downloads/sk/logistics/Shipping%20conditions% 20DHL%20Eu[REMOVED]

Lementi azt: [PATH TO MALWARE]penalty.pdf

Létrehozza az alábbi állományokat:

  • %SystemDrive%1locked.bmp
  • %SystemDrive%Documents and SettingsAll UsersDesktopqwer.html
  • %SystemDrive%Documents and SettingsAll UsersDesktopqwer2.html
  • %SystemDrive%Documents and SettingsAll UsersDesktop
  • seckeys.DONOTDELETE
  • %SystemDrive%Documents and SettingsAll UsersDesktopcustomer.id
  • %SystemDrive%Documents and SettingsAll UsersDesktopencrypted.htm
  • %SystemDrive%Documents and SettingsAll UsersDesktopdecrypted.htm
  • %SystemDrive%1reflect.dll
  • %SystemDrive%1t.dll

A következő lépésben módosít egy registry bejegyzést: HKEY_CURRENT_USERControl PanelDesktop”WallpaperStyle” = “0”

Majd kapcsolódik egy távoli helyre, ahonnan PowerShell kódot fog letölteni:[http://]193.230.220.38/wall/Invoke-Reflectiv[REMOVED]

Ezután a %SystemDrive%1reflect.dll-t beszúrja az Explorer processbe, hogy futtassa a %SystemDrive%1t.dll-t, ami a következő lépéseket hajtja végre:

  • Töröl minden árnyékmásolatot.
  • Az érintett szoftvereken letiltja a Startup Repair funkciót és a hibaüzeneteket.
  • Letiltja a rendszerhelyreállítást.

Titkosítja a következő kiterjesztésű fileokat:

  • .ai
  • .crt
  • .csv
  • .db
  • .doc
  • .docm
  • .docx
  • .dotx
  • .gif
  • .jpeg
  • .jpg
  • .jpg
  • .lnk
  • .mp3
  • .msi
  • .ods
  • .one
  • .ost
  • .p12
  • .pdf
  • .pem
  • .pps
  • .ppsx
  • .ppt
  • .pptx
  • .psd
  • .pst
  • .pub
  • .rar
  • .raw
  • .rtf
  • .tif
  • .txt
  • .vsdx
  • .wma
  • .xls
  • .xlsm
  • .xlsx
  • .xml
  • .zip

A trójai ezután a következő webhelyhez kapcsolódik rejtett IE ablakban, abból a célból, hogy háttérzenét játszon le: [https://]www.youtube.com/wa[REMOVED]

Mindezek után megjelenik egy figyelmeztető üzenet, amelyben a fájlok visszakódolását pénz (bitcoin rendszeren kersztül) átutalásához köti. 

Megoldás

Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool