Összefoglaló
A Ransomcrypt kártékony programok családja ismét egy újabb variánssal bővült. A komoly károk okozására alkalmas szerzemény leginkább abban különbözik az elődjeitől, hogy nem hoz létre a rendszeren olyan állományt, amely a kódját tartalmazza. Sőt arról sem gondoskodik, hogy a Windows újraindításakor újból be tudjon töltődni. A készítői vélhetőleg úgy gondolták, hogy bőven elég, ha egyszer elindul a programjuk, hiszen ezzel is komoly problémákat lehet előidézni.
Leírás
A Ransomcrypt.AG a rendszer működésével és üzemeltetésével kapcsolatos fájlokat teszi használhatatlanná. Így például titkosítja az eseménynaplókat, a rendszerfájlokat, a futtatható és DLL állományokat is. Ezáltal alkalmazások működésének megbénítására is alkalmas.
A Ransomcrypt.AG a követeléseit szöveges fájlok, üzenetablakok és a Windows Asztal háttérképének megváltoztatásával teszi láthatóvá a felhasználó számára.
A váltságdíj kifizetése ez esetben sem javasolt!
Technikai részletek:
1. Egy kiterjesztéslista alapján felkutatja a számára érdekes állományokat.
2. A feltárt fájlokat titkosítja.
3. A titkosított fájlok kiterjesztését kiegészíti egy “enc” kifejezéssel.
4. Minden olyan könyvtárba, amelyben legalább egy állományt manipulált, bemásol egy YOUR_FILES_ARE_LOCKED.txt nevű fájlt.
5. Létrehozza a következő fájlt:
%AppData%YOUR_FILES_ARE_LOCKED.txt
6. Megjelenít egy zsaroló üzenetet.
7. Megváltoztatja az Asztal háttérképét.
Megoldás
Készítsen offline biztonsági mentést.
Használjon naprakész vírusírtó szoftvert.
Támadás típusa
RansomwareHatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu