Racryptor trójai

CH azonosító

CH-13351

Angol cím

Racryptor trojan

Felfedezés dátuma

2016.06.14.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 8, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A js.Racryptor nevű, Windows operációs rendszereket támadó, zsaroló trójai káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás

A Racryptor egy orosz nyelvű üzenet révén közli a követeléseit. Fontos jellemzője, hogy a fertőzésekor hatástalanítja a Windows árnyékmásolatok készítéséért felelős szolgáltatását, amivel eléri, hogy árnyékmásolatokból se lehessen elvégezni a helyreállítást. Ebből adódóan a biztonsági mentéseknek kulcsfontosságú szerepük van.

1. Létrehozza a következő állományokat:
%UserProfile%My Documentsdoc_attached_lZqMS
%SystemDrive%!!!README!!!lZqMS.rtf

2. Titkosítja az alábbi kiterjesztésekkel rendelkező állományokat:
.cd
.cdr
.dbf
.doc
.dwg
.jpg
.lcd
.mdb
.pdf
.png
.psd
.rar
.rtf
.xls
.zip

3. A kódolt fájlok kiterjesztéséhez a .locked szót fűzi hozzá.

4. Létrehozza, majd elindítja a következő állományt:
%UserProfile%My Documentsst.exe

5. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”(Default)” = “[a trójai elérési útvonala]”

6. A regisztrációs adatbázisból kitörli a következő bejegyzést:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesVSS

7. Kapcsolódik egy távoli vezérlőszerverhez.

8. Megjeleníti a zsaroló üzenetét.

Hivatkozások

Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu