HadesLocker zsaroló trójai


2016. október 11. 07:44

CH azonosító

CH-13613

Angol cím

Ransom.HadesLocker

Felfedezés dátuma

2016.10.05.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 8, Windows 10, Windows 8.1, Windows NT, Windows Vista, Windows XP

Összefoglaló

A HadesLocker zsaroló trójai célja, hogy értékes fájlok (dokumentumok, képek, multimédiás állományok, adatfájlok és forráskódok) titkosítása után váltságdíjat szedjen a felhasználótól. Amennyiben elkezdi futását a számítógépen, akkor az első dolga, hogy felkutatja a számára releváns állományokat, amelyeket titkosít. Semmiféle olyan műveletet nem végez, amely a számítógépen való perzisztens jelenlétét lehetővé tenné.

Leírás

A kártékony program egy üzenetben tájékoztatja a felhasználót arról, hogy a számítógépen az értékes fájlok titkosítva lettek, amit csak váltságdíj kifizetésével hozhat helyre. A fizetéshez egy rövid határidőt adnak a zsarolók, aminek elmulasztása a váltságdíj összegének megduplázását eredményezi.
 
Ez esetben is elmondható, hogy nem célszerű teljesíteni a zsarolók követelését, hiszen nincs garancia arra, hogy a fizetést követően a fájlok valóban helyreállíthatóvá válnak.

Technikai leírás:

Amikor a trójai fut, az alábbi fájlokat hozza létre az érintett könyvtárakban:

  • [PATH OF ENCRYPTED FILES]README_RECOVER_FILES_DF635A8069D44D81.html
  • [PATH OF ENCRYPTED FILES]README_RECOVER_FILES_DF635A8069D44D81.png
  • [PATH OF ENCRYPTED FILES]README_RECOVER_FILES_DF635A8069D44D81.txt

Ezt követően a trójai titkosítja a következő kiterjesztéssel rendelkező fájlokat a fertőzött számítógépen:

  • .ai
  • .al
  • .asm
  • .asp
  • .bak
  • .bay
  • .c
  • .cer
  • .CPI
  • .cpp
  • .crt
  • .cs
  • .csv
  • .db
  • .doc
  • .dot
  • .dtd
  • .eps
  • .h
  • .hbk
  • .htm
  • .html
  • .java
  • .jpg
  • .key
  • .lua
  • .m
  • .msg
  • .OBJ
  • .pas
  • .pdb
  • .pdf
  • .pem
  • .php
  • .pl
  • .png
  • .ppt
  • .ps
  • .py
  • .rar
  • .rtf
  • .sql
  • .sqlite
  • .STC
  • .STD
  • .stx
  • .tex
  • .txt
  • .wav
  • .wb2
  • .wpd
  • .xls
  • .xml
  • .zip

A trójai a következő kiterjesztést fűzi hozzá a titkosított fájlnevekhez:

  • ~HLKI56J

Legvégül a trójai a fertözött számítógép képernyőjén egy üzenetet jelenít meg, amelyben figyelmezteti a felhasználókat, hogy a fájlok titkosítva lettek, és utasításokat ad, hogyan lehet fizetni a fájlok visszafejtéséért.

Megoldás

Használjon offline biztonsági mentést.

Támadás típusa

Ransomware
Trójai

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-31857 – WordPress Forminator plugin sérülékenysége
CVE-2024-31077 – WordPress Forminator plugin sérülékenysége
CVE-2024-28890 – WordPress Forminator plugin sérülékenysége
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
CVE-2024-1874 – PHP sérülékenysége
CVE-2024-24576 – Rust sérülékenysége
CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége
Tovább a sérülékenységekhez »