Ransom.HDDCryptor trójai

CH azonosító

CH-13585

Angol cím

Ransom.HDDCryptor

Felfedezés dátuma

2016.09.19.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 8, Windows 10, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Ransom.HDDCryptor egy olyan trójai, amely titkosítja a fájlokat a kompromittálódott számítógépen, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót. 

Leírás

Amikor a trójai végrehajtódik, a következő fájlokat hozza létre:

  • %SystemDrive%/DC22/dcapi.dll
  • %SystemDrive%/DC22/dccon.exe
  • %SystemDrive%/DC22/dcinst.exe
  • %SystemDrive%/DC22/dcrypt.exe
  • %SystemDrive%/DC22/dcrypt.sys
  • %SystemDrive%/DC22/mount.exe
  • %SystemDrive%/DC22/netpass.exe
  • %SystemDrive%/DC22/netpass.txt
  • %SystemDrive%/DC22/log_file.txt
  • %SystemDrive%/DC22/netuse.txt

Majd a következő registry bejegyzéseket hozza létre:

  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDefragmentService
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdcrypt
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdcryptconfig
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdcryptInstances
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdcryptInstancesdcrypt
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdcryptSecurity
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdcryptEnum

Ezt követően a trójai azonosítja a már csatlakoztatott hálózati meghajtókat és az alábbi fájlban tárolja el azokat:

  • %SystemDrive%/DC22/netuse.txt

A trójai hitelesítési adatokat kaphat a már korábban csatlakoztatott hálózati meghajtón tárolt adatokról:

  • %SystemDrive%/DC22/netpass.txt

A trójai lépéseit a következő fájlba menti:

  • %SystemDrive%/DC22/log_file.txt

A trójai titkosítja a MBR-t (Master Boot Record), továbbá a fájlokat a merevlemezen, valamint a hálózati meghajtókon. 

Újraindítás után a felhasználót egy képernyő üzenet tájékoztatja az adatai titkosításáról és a feloldáshoz szükséges teendőkről.

Megoldás

  • Használjon offline biztonsági mentést.
  • Használjon naprakész vírusírtó szoftvert.

Hivatkozások

Egyéb referencia: www.symantec.com