CTB Locker (Critroni, Backdoor-FCKQ) vírus


2015. január 22. 10:54

CH azonosító

CH-11950

Angol cím

Curve-Tor-Bitcoin Locker (aka Critroni, Backdoor-FCKQ)

Felfedezés dátuma

2014.07.29.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows

Összefoglaló

2014 júliusa óta emailben terjedő ransomware. A fertőzés az email csatolmányának letöltésével (esetleg kicsomagolásával) és futtatásával kerül a rendszerbe (valamilyen pack.tar.gz végű URL-ről). Egy úgynevezett elliptikus görbéken alapuló, asszimetrikus, kétkulcsos RSA titkosítási metódust használ (elliptical curve cryptography) a fájlok zárolására. 

Leírás

A fertőzés többféle típusú fájlokat titkosít (dokumentumok, képek, audió), majd általában .CTB vagy .CTB2-re (a legfrissebb verzió már véletlenszerű kiterjesztést használ, például: .ftelhdd or .ztswgmc) változtatja az érintett fájlok kiterjesztését. Ezután készít egy fájlt, amibe lementi az áldozatnak szánt utasításokat, majd letiltja az explorer.exe-t. A támadók az utasításokat általában az asztalra is kiteszik (%MyDocuments%AllFilesAreLocked<userid>.bmp cseréjével). 

A vírus minden egyes újrabootolással élesedik, így a %Temp% könyvtárban több és több másolatot készíthet magáról:

  • %temp%<7_veletlen_karakter>.exe
  • %temp%wkqifwe.exe

Ütemezett feladatot hoz létre:

  • %windir%Taskscderkbm.job

A következő registry bejegyzéseket állítja be:

  • %FELHASZNALO%Application DataMicrosoft<7_veletlen_karakter>

Kódot fecskendez az svchost.exe és onnantól az svchost.exe innen fog lefutni:

  • %temp%<7_veletlen_karakter>.exe

Az svchostba fecskendezett kód a következő kiterjesztésű fájlokat titkosítja, kódolja:

  • .pdf
  • .xls
  • .ppt
  • .txt
  • .py
  • .wb2
  • .jpg
  • .odb
  • .dbf
  • .md
  • .js
  • .pl

Az újonnan létrejött folyamat egy mutexet (mutual exclusion: megosztott erőforráskezelés több szálon) hoz létre:

BaseNamedObjectslyhrsugiwwnvnn

A titkosított fájlokról a %MyDocuments %<random>.html fájlban láthatunk egy teljes listát. 

Megoldás

A fertőzés eltávolítására több szoftver is alkalmas (előfordulhat, hogy csökkentett módban kell indítani a rendszert):

ESET Rogue Application Remover (ERAR) :

  • 32-bites verzió – http://download.eset.com/special/ERARemover_x86.exe
  • 64-bites verzió – http://download.eset.com/special/ERARemover_x64.exe

Microsoft Malicious Software Removal Tool :

http://www.microsoft.com/hu-hu/download/confirmation.aspx?id=9905

Támadás típusa

Ransomware

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)
Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »