Ransomcrypt.AG

CH azonosító

CH-13148

Angol cím

Ransomcrypt.AG

Felfedezés dátuma

2016.04.03.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Ransomcrypt kártékony programok családja ismét egy újabb variánssal bővült. A komoly károk okozására alkalmas szerzemény leginkább abban különbözik az elődjeitől, hogy nem hoz létre a rendszeren olyan állományt, amely a kódját tartalmazza. Sőt arról sem gondoskodik, hogy a Windows újraindításakor újból be tudjon töltődni. A készítői vélhetőleg úgy gondolták, hogy bőven elég, ha egyszer elindul a programjuk, hiszen ezzel is komoly problémákat lehet előidézni.

Leírás

A Ransomcrypt.AG a rendszer működésével és üzemeltetésével kapcsolatos fájlokat teszi használhatatlanná. Így például titkosítja az eseménynaplókat, a rendszerfájlokat, a futtatható és DLL állományokat is. Ezáltal alkalmazások működésének megbénítására is alkalmas.

A Ransomcrypt.AG a követeléseit szöveges fájlok, üzenetablakok és a Windows Asztal háttérképének megváltoztatásával teszi láthatóvá a felhasználó számára.

A váltságdíj kifizetése ez esetben sem javasolt!

Technikai részletek:

1. Egy kiterjesztéslista alapján felkutatja a számára érdekes állományokat.

2. A feltárt fájlokat titkosítja.

3. A titkosított fájlok kiterjesztését kiegészíti egy “enc” kifejezéssel.

4. Minden olyan könyvtárba, amelyben legalább egy állományt manipulált, bemásol egy YOUR_FILES_ARE_LOCKED.txt nevű fájlt.

5. Létrehozza a következő fájlt:
%AppData%YOUR_FILES_ARE_LOCKED.txt

6. Megjelenít egy zsaroló üzenetet.

7. Megváltoztatja az Asztal háttérképét.

Megoldás

Készítsen offline biztonsági mentést.

Használjon naprakész vírusírtó szoftvert.