Ransomcrypt.B trójai


2015. december 1. 07:07

CH azonosító

CH-12819

Angol cím

Ransomcrypt.B trojan

Felfedezés dátuma

2015.11.30.

Súlyosság

Közepes

Érintett rendszerek

Linux

Érintett verziók

Linux/Unix

Összefoglaló

A Ransomcrypt.B trójai linuxos változata az elődjéhez képest még több állományban tud kárt okozni. 

Leírás

Ugyanakkor a fertőzési folyamata lényegesen nem változott. Miután felkerül egy számítógépre, akkor azon létrehoz egy deamon folyamatot, majd rögtön nekilát a fájlrendszer feltérképezésének, és a számára kijelölt könyvtárakban lévő állományokat letitkosítja. Így többek között képeket, dokumentumokat, adatbázisfájlokat sem hagy érintetlenül. Különösen nagy pusztítást képes okozni a home, az etc és a weboldalak, webes alkalmazások kiszolgálásához használt mappákban.

A Ransomcrypt.B minden olyan mappába elhelyez egy zsaroló szöveget tartalmazó állományt, amelyben legalább egy fájlt használhatatlanná tett. Ennek az állományának a README_FOR_DECRYPT.txt nevet adja. Emellett a jelenlétére az is utal, hogy a titkosított fájlok kiterjesztését az “.encrypted” szóval egészíti ki.

Technikai részletek:

1. Létrehozza a következő állományokat:
/readme.crypto
/[…]/README_FOR_DECRYPT.txt

2. Létrehoz egy deamon folyamatot.

3. Felkutatja a fájlokat az alábbi mappákban:
/home
/root
/var/lib/mysql
/var/www
/etc/nginx
/etc/apache2
/var/log

4. A feltárt fájlokat titkosítja.

5. Minden olyan állományt titkosít, amelyek elérési útvonalában szerepel a következő kifejezések valamelyike:
public_html
webapp
backup
.git
.svn

6. A kompromittált állományok nevét kiegészíti az “.encrypted” szóval.

7. Minden kompromittált mappába bemásol egy README_FOR_DECRYPT.txt nevű fájlt.

Megoldás

  • Tartsa rendszerét naprakészen, mindig telepítse a legújabb frissítéseket!
  • Készítsen gyakran biztonsági mentést!
  • Ne nyisson meg ismeretlen feladótól érkező, vagy nem megbízható (SPAM) e-maileket!
  • Ne töltse le, vagy nyissa meg ezen e-mailek mellékletét!
  • Használjon ransomware detektáló, és blokkoló termékeket!

Támadás típusa

Ransomware
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Trójai

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Unknown (Ismeretlen)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »