HadesLocker zsaroló trójai


2016. október 11. 07:44

CH azonosító

CH-13613

Angol cím

Ransom.HadesLocker

Felfedezés dátuma

2016.10.05.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 8, Windows 10, Windows 8.1, Windows NT, Windows Vista, Windows XP

Összefoglaló

A HadesLocker zsaroló trójai célja, hogy értékes fájlok (dokumentumok, képek, multimédiás állományok, adatfájlok és forráskódok) titkosítása után váltságdíjat szedjen a felhasználótól. Amennyiben elkezdi futását a számítógépen, akkor az első dolga, hogy felkutatja a számára releváns állományokat, amelyeket titkosít. Semmiféle olyan műveletet nem végez, amely a számítógépen való perzisztens jelenlétét lehetővé tenné.

Leírás

A kártékony program egy üzenetben tájékoztatja a felhasználót arról, hogy a számítógépen az értékes fájlok titkosítva lettek, amit csak váltságdíj kifizetésével hozhat helyre. A fizetéshez egy rövid határidőt adnak a zsarolók, aminek elmulasztása a váltságdíj összegének megduplázását eredményezi.
 
Ez esetben is elmondható, hogy nem célszerű teljesíteni a zsarolók követelését, hiszen nincs garancia arra, hogy a fizetést követően a fájlok valóban helyreállíthatóvá válnak.

Technikai leírás:

Amikor a trójai fut, az alábbi fájlokat hozza létre az érintett könyvtárakban:

  • [PATH OF ENCRYPTED FILES]README_RECOVER_FILES_DF635A8069D44D81.html
  • [PATH OF ENCRYPTED FILES]README_RECOVER_FILES_DF635A8069D44D81.png
  • [PATH OF ENCRYPTED FILES]README_RECOVER_FILES_DF635A8069D44D81.txt

Ezt követően a trójai titkosítja a következő kiterjesztéssel rendelkező fájlokat a fertőzött számítógépen:

  • .ai
  • .al
  • .asm
  • .asp
  • .bak
  • .bay
  • .c
  • .cer
  • .CPI
  • .cpp
  • .crt
  • .cs
  • .csv
  • .db
  • .doc
  • .dot
  • .dtd
  • .eps
  • .h
  • .hbk
  • .htm
  • .html
  • .java
  • .jpg
  • .key
  • .lua
  • .m
  • .msg
  • .OBJ
  • .pas
  • .pdb
  • .pdf
  • .pem
  • .php
  • .pl
  • .png
  • .ppt
  • .ps
  • .py
  • .rar
  • .rtf
  • .sql
  • .sqlite
  • .STC
  • .STD
  • .stx
  • .tex
  • .txt
  • .wav
  • .wb2
  • .wpd
  • .xls
  • .xml
  • .zip

A trójai a következő kiterjesztést fűzi hozzá a titkosított fájlnevekhez:

  • ~HLKI56J

Legvégül a trójai a fertözött számítógép képernyőjén egy üzenetet jelenít meg, amelyben figyelmezteti a felhasználókat, hogy a fájlok titkosítva lettek, és utasításokat ad, hogyan lehet fizetni a fájlok visszafejtéséért.

Megoldás

Használjon offline biztonsági mentést.

Támadás típusa

Ransomware
Trójai

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-25256 – Fortinet FortiSIEM sebezhetősége
CVE-2022-40684 – Fortinet Multiple Products Authentication Bypass sebezhetősége
CVE-2025-59367 – ASUS DSL Router sérülékenysége
CVE-2025-64446 – Fortinet FortiWeb Path Traversal sérülékenysége
CVE-2025-2884 – TCG Out-of-Bounds read sérülékenysége
CVE-2025-24052 – Windows Agere Modem Driver Elevation of Privilege sérülékenysége
CVE-2025-0033 – SEV-SNP RMP Initialization sérülékenysége
CVE-2025-62214 – Visual Studio Remote Code Execution sérülékenysége
CVE-2025-62199 – Microsoft Office Remote Code Execution sérülékenysége
Tovább a sérülékenységekhez »