Ransomcrypt.BB trójai

CH azonosító

CH-13437

Angol cím

Ransomcrypt.BB trojan

Felfedezés dátuma

2016.07.24.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Ransomcrypt.BB trójai káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás

A fertőzött számítógépen a károkozó a Jegyzettömb megnyitásával, és egy sima, szöveges állomány betöltésével tudatja a PC tulajdonosával, hogy a fájljai közül sok használhatatlanná vált, és a helyreállításhoz váltságdíjat kell fizetnie.

A Ransomcrypt.BB egy távoli kiszolgálóval is kommunikál annak érdekében, hogy a titkosítással kapcsolatos információkat megoszthassa a csalókkal.

Mivel a trójai futtatható, DLL és SYS állományokat is titkosít, ezért a fertőzött rendszeren futó alkalmazások is használhatatlanná válhatnak.

 1. A regisztrációs adatbázishoz hozzáadja a következő értékeket:

HKEY_LOCAL_MACHINESOFTWARE98GdCJw9VXPVWeFL”98GdCJw9VXPVWeFLs” = “1”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”98GdCJw9VXPVWeFL” = “[a trójai elérési útvonala]”
HKEY_LOCAL_MACHINESOFTWARE98GdCJw9VXPVWeFL”98GdCJw9VXPVWeFLu” = “[…]”
HKEY_LOCAL_MACHINESOFTWARE98GdCJw9VXPVWeFL”98GdCJw9VXPVWeFLp” = “[…]”

2. Egy kiterjesztéslista alapján fájlokat kutat fel, majd titkosít. Kivételt csak az alábbi állományokkal tesz:
boot.ini
NTDETECT.COM
Bootfont.bin
ntldr;bootmgr
BOOTNXT
BOOTSECT.BAK
NTUSER.DAT
PDOXUSRS.NET

3. Módosítja a kompromittált fájlok kiterjesztését, amelybe e-mail címeket is beszúr.

4. Minden olyan mappába, amelyben legalább egy fájlt titkosított, létrehoz egy RESTORE FILES.txt nevű állományt.

5. A Jegyzettömbben megjelenít egy szöveges fájlt, amely a követeléseit tartalmazza.

6. Egy távoli szerverhez kapcsolódik, amelyre különféle titkosított információkat tölt fel.

Megoldás

Használjon offline biztonsági mentést.

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com