Összefoglaló
A Ransomcrypt kártékony programok családja ismét egy újabb variánssal bővült. A komoly károk okozására alkalmas szerzemény leginkább abban különbözik az elődjeitől, hogy nem hoz létre a rendszeren olyan állományt, amely a kódját tartalmazza. Sőt arról sem gondoskodik, hogy a Windows újraindításakor újból be tudjon töltődni. A készítői vélhetőleg úgy gondolták, hogy bőven elég, ha egyszer elindul a programjuk, hiszen ezzel is komoly problémákat lehet előidézni.
Leírás
A Ransomcrypt.AG a rendszer működésével és üzemeltetésével kapcsolatos fájlokat teszi használhatatlanná. Így például titkosítja az eseménynaplókat, a rendszerfájlokat, a futtatható és DLL állományokat is. Ezáltal alkalmazások működésének megbénítására is alkalmas.
A Ransomcrypt.AG a követeléseit szöveges fájlok, üzenetablakok és a Windows Asztal háttérképének megváltoztatásával teszi láthatóvá a felhasználó számára.
A váltságdíj kifizetése ez esetben sem javasolt!
Technikai részletek:
1. Egy kiterjesztéslista alapján felkutatja a számára érdekes állományokat.
2. A feltárt fájlokat titkosítja.
3. A titkosított fájlok kiterjesztését kiegészíti egy “enc” kifejezéssel.
4. Minden olyan könyvtárba, amelyben legalább egy állományt manipulált, bemásol egy YOUR_FILES_ARE_LOCKED.txt nevű fájlt.
5. Létrehozza a következő fájlt:
%AppData%YOUR_FILES_ARE_LOCKED.txt
6. Megjelenít egy zsaroló üzenetet.
7. Megváltoztatja az Asztal háttérképét.
Megoldás
Készítsen offline biztonsági mentést.
Használjon naprakész vírusírtó szoftvert.
Támadás típusa
RansomwareHatás
Loss of availability (Elérhetőség elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu