Összefoglaló
A Ransomcrypt.AA egy olyan trójai (ransomware), amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.
Leírás
Mikor a trójai aktiválódik, létrehozza a %AllUsersProfile%date_1.txt állományt.
Létrehozza a %AllUsersProfile%faktura mappát.
Létrehozza az alábbi rengisztrációs bejegyzést, hogy a Windowsal együtt indulhasson:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”cssys” = “%AllUsersProfile%ntserver.exe”
A trójai titkosít minden olyan állományt, melyek nem az alábbi kiterjesztésűek:
- .bat
- .cmd
- .com
- .cpl
- .dll
- .exe
- .hta
- .lnk
- .msc
- .msi
- .msp
- .pif
- .scr
- .sys
Végül követeli a felhasználótól, hogy vásárolja meg a visszafejtéshez szükséges kulcsot.
Megoldás
- Használjon offline biztonsági mentést.
- Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool
Támadás típusa
Crypthographical (Titkosítás)Ransomware
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com