Összefoglaló
A Ransom.Goldeneye egy olyan trójai, amely módosítja az MBR-t (Master Boot Record), fájlokat titkosít a számítógépen, majd megpróbálja eladni a titkosítás feloldásához szükséges kulcsot. A kártevő spam-ekbe rejtve érkezhet (például egy álláshirdetés formájában). Az e-mailek általában egy .pdf és egy .xls kiterjesztésű állományt tartalmaznak, az utóbbi tartalmazza a kártékony kódot.
Leírás
Amikor a trójai aktiválódik, létrehozza a következő filet:
%UserProfile%Application Data[GUID][RANDOM NAME BASED ON MALWARE SAMPLE].exe
A ransomware titkosítja a felhasználó állományait, módosítja az MBR-t (Master Boot Record). A titkosítás végeztével újraindítja a rendszert és tájékoztatja a felhasználót a történtekről. Ekkor egy módosított – karakterekből álló halálfejet tartalmazó – képernyőkép jelenik meg, amely tartalmazza a fájlok visszafejtéséhez szükséges útmutatót. A Goldeneye a tavasszal megjelent Petya és azt követő Mischa továbbfejlesztett változata.
UPDATE – 2017.07.07:
Publikussá vált a GoldenEye eredeti, privát titkosító kulcsa, amely által visszaállíthatók az eredeti fájlok (részletek az utolsó linken).
Megoldás
- Használjon offline biztonsági mentést
- Használjon naprakész vírusírtó szoftvert
Támadás típusa
RansomwareTrójai
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: securityresponse.symantec.com
Egyéb referencia: www.securitynewspaper.com
Egyéb referencia: www.bleepingcomputer.com