Összefoglaló
A Ransomcrypt.BB trójai káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.
Leírás
A fertőzött számítógépen a károkozó a Jegyzettömb megnyitásával, és egy sima, szöveges állomány betöltésével tudatja a PC tulajdonosával, hogy a fájljai közül sok használhatatlanná vált, és a helyreállításhoz váltságdíjat kell fizetnie.
A Ransomcrypt.BB egy távoli kiszolgálóval is kommunikál annak érdekében, hogy a titkosítással kapcsolatos információkat megoszthassa a csalókkal.
Mivel a trójai futtatható, DLL és SYS állományokat is titkosít, ezért a fertőzött rendszeren futó alkalmazások is használhatatlanná válhatnak.
1. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_LOCAL_MACHINESOFTWARE98GdCJw9VXPVWeFL”98GdCJw9VXPVWeFLs” = “1”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”98GdCJw9VXPVWeFL” = “[a trójai elérési útvonala]”
HKEY_LOCAL_MACHINESOFTWARE98GdCJw9VXPVWeFL”98GdCJw9VXPVWeFLu” = “[…]”
HKEY_LOCAL_MACHINESOFTWARE98GdCJw9VXPVWeFL”98GdCJw9VXPVWeFLp” = “[…]”
2. Egy kiterjesztéslista alapján fájlokat kutat fel, majd titkosít. Kivételt csak az alábbi állományokkal tesz:
boot.ini
NTDETECT.COM
Bootfont.bin
ntldr;bootmgr
BOOTNXT
BOOTSECT.BAK
NTUSER.DAT
PDOXUSRS.NET
3. Módosítja a kompromittált fájlok kiterjesztését, amelybe e-mail címeket is beszúr.
4. Minden olyan mappába, amelyben legalább egy fájlt titkosított, létrehoz egy RESTORE FILES.txt nevű állományt.
5. A Jegyzettömbben megjelenít egy szöveges fájlt, amely a követeléseit tartalmazza.
6. Egy távoli szerverhez kapcsolódik, amelyre különféle titkosított információkat tölt fel.
Megoldás
Használjon offline biztonsági mentést.
Támadás típusa
RansomwareTrójai
Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com