Ransomcrypt.BB trójai

CH azonosító

CH-13437

Angol cím

Ransomcrypt.BB trojan

Felfedezés dátuma

2016.07.24.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Ransomcrypt.BB trójai káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás

A fertőzött számítógépen a károkozó a Jegyzettömb megnyitásával, és egy sima, szöveges állomány betöltésével tudatja a PC tulajdonosával, hogy a fájljai közül sok használhatatlanná vált, és a helyreállításhoz váltságdíjat kell fizetnie.

A Ransomcrypt.BB egy távoli kiszolgálóval is kommunikál annak érdekében, hogy a titkosítással kapcsolatos információkat megoszthassa a csalókkal.

Mivel a trójai futtatható, DLL és SYS állományokat is titkosít, ezért a fertőzött rendszeren futó alkalmazások is használhatatlanná válhatnak.

 1. A regisztrációs adatbázishoz hozzáadja a következő értékeket:

HKEY_LOCAL_MACHINESOFTWARE98GdCJw9VXPVWeFL”98GdCJw9VXPVWeFLs” = “1”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”98GdCJw9VXPVWeFL” = “[a trójai elérési útvonala]”
HKEY_LOCAL_MACHINESOFTWARE98GdCJw9VXPVWeFL”98GdCJw9VXPVWeFLu” = “[…]”
HKEY_LOCAL_MACHINESOFTWARE98GdCJw9VXPVWeFL”98GdCJw9VXPVWeFLp” = “[…]”

2. Egy kiterjesztéslista alapján fájlokat kutat fel, majd titkosít. Kivételt csak az alábbi állományokkal tesz:
boot.ini
NTDETECT.COM
Bootfont.bin
ntldr;bootmgr
BOOTNXT
BOOTSECT.BAK
NTUSER.DAT
PDOXUSRS.NET

3. Módosítja a kompromittált fájlok kiterjesztését, amelybe e-mail címeket is beszúr.

4. Minden olyan mappába, amelyben legalább egy fájlt titkosított, létrehoz egy RESTORE FILES.txt nevű állományt.

5. A Jegyzettömbben megjelenít egy szöveges fájlt, amely a követeléseit tartalmazza.

6. Egy távoli szerverhez kapcsolódik, amelyre különféle titkosított információkat tölt fel.

Megoldás

Használjon offline biztonsági mentést.

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-2704 – OpenVPN sebezhetősége
CVE-2025-22457 – Ivanti Connect Secure, Policy Secure and ZTA Gateways Stack-Based Buffer Overflow sebezhetősége
CVE-2025-24228 – Apple sebezhetősége
CVE-2025-24097 – Apple sebezhetősége
CVE-2024-20440 – Cisco Smart Licensing Utility sebezhezősége
CVE-2025-1268 – Canon sebezhetősége
CVE-2025-2783 – Google Chromium Mojo Sandbox Escape sebezhetősége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
Tovább a sérülékenységekhez »