DMA Locker 4.0 zsaroló kártevő

CH azonosító

CH-13320

Angol cím

DMA Locker 4.0 ransomware

Felfedezés dátuma

2016.05.22.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A DMA Locker nevű, 4.0-ás verziójú, Windows operációs rendszereket támadó, zsaroló trójai káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás

A kártevő működéséhez mindenképpen szükség van internetkapcsolatra, mert a publikus RSA kulcsot a saját vezérlőszerveréről tölti le. Amíg nem éri el a világhálót, addig csak vár, ha pedig kapcsolatot észlel, mindaddig csendben dolgozik, amíg nem végzett a fájlok titkosításával.

Mikor aktiválódik, létrehozza az alábbi állományokat a C:ProgramData könyvtárban:

  • svchosd.exe
  • select.bat
  • cryptinfo.txt.

Létrehoz néhány regisztrációs bejegyzést Windows Firewall és Windows Update néven.

A trójai ezek után megváltoztatja a háttérképet és egy, a titkosítás visszafejtéséhez szükséges leírást mutat meg.

A trójai határidőket is szab: először 1 bitcoint kér, majd 150%-os áremeléssel lehet csak visszaállítani a fájlokat, végül pedig egy bizonyos idő elteltével mindent töröl a meghajtóról.

Megoldás

Használjon offline biztonsági mentést.

Hivatkozások

Egyéb referencia: blog.malwarebytes.org