Ransomcrypt.AS zsaroló kártevő

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows NT, Windows Vista, Windows XP

Összefoglaló

A Ransomcrypt.AS nevű, Windows operációs rendszereket támadó, trójai típusú káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd pénzt kér a titkosítás feloldásához szükséges jelszóért.

Leírás

Amikor aktiválódik, létrehozza az alábbi fájlokat:

• %AppData%[RANDOM SIX LETTERS][RANDOM SIX LETTERS].exe
• %AppData%System32WorkEncryptedFileList.txt
• %AppData%System32WorkAddress.txt
• %AppData%System32Workdr

A trójai létrehozza az %AppData%System32Work mappát.

Létrehozza a HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[RANDOM SIX LETTERS].exe” = “%AppData%[RANDOM SIX LETTERS][RANDOM SIX LETTERS].exe” regisztrációs bejegyzést.

Majd titkosítja az alábbi állományokat, melyek kiterjesztését .porno-ra változtatja:

• .1pa
• .3g2
• .3gp
• .aaf
• .accdb
• .aep
• .aepx
• .aet
• .ai
• .Ai
• .aif
• .Aif
• .as
• .as3
• .asf
• .asp
• .asx
• .avi
• .bmp
• .c
• .Cal
• .Cdr
• .Cdt
• .Cdx
• .Cgn
• .class
• .Clk
• .Cmx
• .Cnt
• .cpp
• .Cpt
• .Cpx
• .cs
• .Csl
• .csv
• .Cur
• .dat
• .db
• .dbf
• .Des
• .Des
• .doc
• .docb
• .docm
• .docx
• .dot
• .dotm
• .dotx
• .Ds4
• .Drw
• .Dsf
• .dwg
• .Dwg
• .Eps
• .dxf
• .efx
• .eps
• .Fim
• .fla
• .flv
• .Fmv
• .FPx
• .Fpx
• .Fx0
• .Fx1
• .Fxr
• .Gem
• .gif
• .Gif
• .h
• .idml
• .iff
• .Iif
• .Img
• .indb
• .indd
• .indl
• .indt
• .Ini
• .inx
• .jar
• .java
• .jpeg
• .jpg
• .js
• .Lgb
• .m3u
• .m3u8
• .m4u
• .Mac
• .max
• .mdb
• .Met
• .mid
• .mov
• .mp3
• .mp4
• .mpa
• .mpeg
• .mpg
• .msg
• .Mx0
• .Nap
• .Nd
• .Pat
• .Pcd
• .Pct
• .Pcx
• .pdb
• .pdf
• .Pfb
• .php
• .Pic
• .plb
• .Plt
• .pmd
• .png
• .pot
• .potm
• .potx
• .PP4
• .Pp5
• .ppam
• .Ppf
• .ppj
• .pps
• .ppsm
• .ppsx
• .ppt
• .Ppt
• .pptm
• .pptx
• .prel
• .Prn
• .Prn
• .prproj
• .ps
• .Ps
• .Ps
• .psd
• .Psp
• .ptb
• .py
• .Qba
• .QBB
• .QBI
• .QBM
• .Qbo
• .Qbp
• .QBR
• .Qbw
• .Qbx
• .Qby
• .Qpd
• .Qsm
• .Qss
• .Qst
• .Qwc
• .ra
• .rar
• .raw
• .Raw
• .rb
• .Rif
• .rtf
• .Rtp
• .Sct
• .sdf
• .ses
• .Set
• .Shw
• .sldm
• .sldx
• .sql
• .svg
• .Svg
• .swf
• .Swf
• .Tga
• .tif
• .Tiff
• .Tlg
• .Tlg
• .Ttf
• .txt
• .Txt
• .Txt
• .v30
• .vcf
• .vob
• .Vsd
• .Vsd
• .wav
• .Wav
• .Wi
• .wk3
• .wk4
• .wma
• .Wmf
• .wmv
• .wpd
• .Wpd
• .Wpg
• .wps
• .Xcf
• .xla
• .xlam
• .xll
• .xlm
• .xls
• .Xls
• .xlsb
• .xlsm
• .Xlsm
• .xlsx
• .Xlsx
• .xlt
• .xltm
• .xltx
• .xlw
• .xml
• .XPM
• .xqx
• .xqx
• .zip

Ezek után egy üzenetet jelenít meg, melyben tájékoztatja a felhasználót, hogy minden órában, a kívánt összeg beérkezéséig fájlokat töröl a számítógépéről.

Megoldás

Használjon offline biztonsági mentést.

Támadás típusa

Szükséges hozzáférés

Hivatkozások

Egyéb referencia: www.symantec.com