Ransomcrypt.AT

CH azonosító

CH-13257

Angol cím

Ransomcrypt.AT

Felfedezés dátuma

2016.05.18.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows NT, Windows Vista, Windows XP

Összefoglaló

A Ransomcrypt.AT nevű, Windows operációs rendszereket támadó, trójai típusú káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás

Mikor aktiválódik a káros kód, titkosítja az alábbi kiterjesztésű állományokat:

  • .exe
  • .777
  • .dll
  • .msi

A kártevő nem titkosítja az alábbi helyen található állományokat:

  • %Windir%
  • %ProgramFiles%

A trójai az alábbi karakterlánccal látja el a titkosított fájlokat: ._[DAY-MONTH-YEAR-HOUR-MINUTE-SECOND]_$[EMAIL ADDRESS]$.777

Megpróbálja megszerezni a fertőzött számítógép IP címét, és elküldi a [http://]tuginsaat.com/wp-content/themes/twentythirteen/stat[REMOVED] címre.

Létrehozza az alábbi fájlt: %UserProfile%Desktopread_this_file.txt

Létrehozza az alábbi fájlt és erre változtatja a háttérképet: %Temp%tmp.bmp

Végül egy a titkosítás visszafejtéséhez szükséges leírást mutat meg.

A fájlok visszaállításához egy e-mailt kell küldeni az alábbi címekre:

  • ninja.gaiver@aol[.]com
  • kaligula.caesar@aol.[]com
  • seven_legion@india[.]com

Hivatkozások

Egyéb referencia: www.symantec.com