HadesLocker zsaroló trójai

CH azonosító

CH-13613

Angol cím

Ransom.HadesLocker

Felfedezés dátuma

2016.10.05.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 8, Windows 10, Windows 8.1, Windows NT, Windows Vista, Windows XP

Összefoglaló

A HadesLocker zsaroló trójai célja, hogy értékes fájlok (dokumentumok, képek, multimédiás állományok, adatfájlok és forráskódok) titkosítása után váltságdíjat szedjen a felhasználótól. Amennyiben elkezdi futását a számítógépen, akkor az első dolga, hogy felkutatja a számára releváns állományokat, amelyeket titkosít. Semmiféle olyan műveletet nem végez, amely a számítógépen való perzisztens jelenlétét lehetővé tenné.

Leírás

A kártékony program egy üzenetben tájékoztatja a felhasználót arról, hogy a számítógépen az értékes fájlok titkosítva lettek, amit csak váltságdíj kifizetésével hozhat helyre. A fizetéshez egy rövid határidőt adnak a zsarolók, aminek elmulasztása a váltságdíj összegének megduplázását eredményezi.
 
Ez esetben is elmondható, hogy nem célszerű teljesíteni a zsarolók követelését, hiszen nincs garancia arra, hogy a fizetést követően a fájlok valóban helyreállíthatóvá válnak.

Technikai leírás:

Amikor a trójai fut, az alábbi fájlokat hozza létre az érintett könyvtárakban:

  • [PATH OF ENCRYPTED FILES]README_RECOVER_FILES_DF635A8069D44D81.html
  • [PATH OF ENCRYPTED FILES]README_RECOVER_FILES_DF635A8069D44D81.png
  • [PATH OF ENCRYPTED FILES]README_RECOVER_FILES_DF635A8069D44D81.txt

Ezt követően a trójai titkosítja a következő kiterjesztéssel rendelkező fájlokat a fertőzött számítógépen:

  • .ai
  • .al
  • .asm
  • .asp
  • .bak
  • .bay
  • .c
  • .cer
  • .CPI
  • .cpp
  • .crt
  • .cs
  • .csv
  • .db
  • .doc
  • .dot
  • .dtd
  • .eps
  • .h
  • .hbk
  • .htm
  • .html
  • .java
  • .jpg
  • .key
  • .lua
  • .m
  • .msg
  • .OBJ
  • .pas
  • .pdb
  • .pdf
  • .pem
  • .php
  • .pl
  • .png
  • .ppt
  • .ps
  • .py
  • .rar
  • .rtf
  • .sql
  • .sqlite
  • .STC
  • .STD
  • .stx
  • .tex
  • .txt
  • .wav
  • .wb2
  • .wpd
  • .xls
  • .xml
  • .zip

A trójai a következő kiterjesztést fűzi hozzá a titkosított fájlnevekhez:

  • ~HLKI56J

Legvégül a trójai a fertözött számítógép képernyőjén egy üzenetet jelenít meg, amelyben figyelmezteti a felhasználókat, hogy a fájlok titkosítva lettek, és utasításokat ad, hogyan lehet fizetni a fájlok visszafejtéséért.

Megoldás

Használjon offline biztonsági mentést.

Hivatkozások

Egyéb referencia: www.symantec.com