HadesLocker zsaroló trójai


2016. október 11. 07:44

CH azonosító

CH-13613

Angol cím

Ransom.HadesLocker

Felfedezés dátuma

2016.10.05.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 8, Windows 10, Windows 8.1, Windows NT, Windows Vista, Windows XP

Összefoglaló

A HadesLocker zsaroló trójai célja, hogy értékes fájlok (dokumentumok, képek, multimédiás állományok, adatfájlok és forráskódok) titkosítása után váltságdíjat szedjen a felhasználótól. Amennyiben elkezdi futását a számítógépen, akkor az első dolga, hogy felkutatja a számára releváns állományokat, amelyeket titkosít. Semmiféle olyan műveletet nem végez, amely a számítógépen való perzisztens jelenlétét lehetővé tenné.

Leírás

A kártékony program egy üzenetben tájékoztatja a felhasználót arról, hogy a számítógépen az értékes fájlok titkosítva lettek, amit csak váltságdíj kifizetésével hozhat helyre. A fizetéshez egy rövid határidőt adnak a zsarolók, aminek elmulasztása a váltságdíj összegének megduplázását eredményezi.
 
Ez esetben is elmondható, hogy nem célszerű teljesíteni a zsarolók követelését, hiszen nincs garancia arra, hogy a fizetést követően a fájlok valóban helyreállíthatóvá válnak.

Technikai leírás:

Amikor a trójai fut, az alábbi fájlokat hozza létre az érintett könyvtárakban:

  • [PATH OF ENCRYPTED FILES]README_RECOVER_FILES_DF635A8069D44D81.html
  • [PATH OF ENCRYPTED FILES]README_RECOVER_FILES_DF635A8069D44D81.png
  • [PATH OF ENCRYPTED FILES]README_RECOVER_FILES_DF635A8069D44D81.txt

Ezt követően a trójai titkosítja a következő kiterjesztéssel rendelkező fájlokat a fertőzött számítógépen:

  • .ai
  • .al
  • .asm
  • .asp
  • .bak
  • .bay
  • .c
  • .cer
  • .CPI
  • .cpp
  • .crt
  • .cs
  • .csv
  • .db
  • .doc
  • .dot
  • .dtd
  • .eps
  • .h
  • .hbk
  • .htm
  • .html
  • .java
  • .jpg
  • .key
  • .lua
  • .m
  • .msg
  • .OBJ
  • .pas
  • .pdb
  • .pdf
  • .pem
  • .php
  • .pl
  • .png
  • .ppt
  • .ps
  • .py
  • .rar
  • .rtf
  • .sql
  • .sqlite
  • .STC
  • .STD
  • .stx
  • .tex
  • .txt
  • .wav
  • .wb2
  • .wpd
  • .xls
  • .xml
  • .zip

A trójai a következő kiterjesztést fűzi hozzá a titkosított fájlnevekhez:

  • ~HLKI56J

Legvégül a trójai a fertözött számítógép képernyőjén egy üzenetet jelenít meg, amelyben figyelmezteti a felhasználókat, hogy a fájlok titkosítva lettek, és utasításokat ad, hogyan lehet fizetni a fájlok visszafejtéséért.

Megoldás

Használjon offline biztonsági mentést.

Támadás típusa

Ransomware
Trójai

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2023-38950 – ZKTeco BioTime Path Traversal sérülékenysége
CVE-2025-27920 – Srimax Output Messenger Directory Traversal sérülékenysége
CVE-2025-4428 – Ivanti Endpoint Manager Mobile (EPMM) Code Injection sérülékenysége
CVE-2025-4427 – Ivanti Endpoint Manager Mobile (EPMM) Authentication Bypass sérülékenysége
CVE-2024-27443 – Synacor Zimbra Collaboration Suite (ZCS) Cross-Site Scripting (XSS) sérülékenysége
CVE-2024-11182 – MDaemon Email Server Cross-Site Scripting (XSS) sérülékenysége
CVE-2025-42999 – SAP NetWeaver Deserialization sérülékenysége
CVE-2024-12987 – DrayTek Vigor Routers OS Command Injection sérülékenysége
CVE-2025-4664 – Google Chromium Loader Insufficient Policy Enforcement sérülékenysége
Tovább a sérülékenységekhez »