Összefoglaló
A Symantec biztonsági cég egy újabb zsaroló kártevőt fedezett fel, amelyre Ransom.Purge névvel hivatkoznak.
Leírás
Futáskor létrehozza az alábbi könyvtárat, és bemásolja magát:
- %AppData%Localmsiscan.exe
Az alábbi fájlt hozza létre:
- [PATH TO ENCRYPTED FILES]How to restore files.hta
Majd a következő registry bejegyzést:
- HKEY_CURRENT_USERSSoftwareMicrosoftWindowsCurrentVersionRunOnce”{7EE83558-92B4-4741-8714-1DE414DEA489}” = “%AppData%Localmsiscan.exe”
- HKEY_CURRENT_USERSSoftwareGlobe”Temp” = “[RANDOM CHARACTERS]”
A titkosított fájlok végéhez hozzáfűzi:
.purge
Végezetül egy zsaroló üzenetet jelenít meg, amelyben tudatja a felhasználóval a váltságdíj fizetéssel kapcsolatos információkat.
Megoldás
- Jelenleg a titkosított fájlok visszafejtésére nincs lehetőség és nincs információ a kártevő terjedési módjáról.
- Használjon offline biztonsági mentést.
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket).
- Használjon naprakész vírusirtót és tűzfalat.
Támadás típusa
RansomwareTrójai
Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com