Összefoglaló
A Ransomcrypt.BB trójai káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.
Leírás
A Ransomcrypt.BE trójai alapvetően a fájltitkosító, zsaroló programok közé sorolható, azonban a készítői ennél tovább mentek, és igyekeznek sürgetni a felhasználókat a váltságdíj minél előbbi kifizetése érdekében. Közlik, hogy hat óránként egy-egy fájlt véletlenszerűen törölnek, amelyek már biztosan nem lesznek helyreállíthatóak. Ezen túlmenően 96 óra haladékot adnak a követelések teljesítésére, majd – elmondásuk szerint – végleg törlik a helyreállításhoz szükséges kulcsokat.
A Ransomcrypt.BE dokumentumokat, Excel táblákat, képeket, videókat és tömörített fájlokat is tönkretesz. Mindezt egy megtévesztő névvel ellátott (scvhost.exe) fájl segítségével végzi el. Ez az állomány természetesen nem a Windows rendszerállománya, hanem egy, az AppData könyvtárba bemásolt fájl.
Technikai részletek:
1. Létrehozza a következő állományt:
%AppData%scvhost.exe
2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”Windows Update” = “%AppData%scvhost.exe”
3. Felkutatja, majd letitkosítja a következő kiterjesztésekkel rendelkező állományokat:
.7z
.avi
.bmp
.doc
.docx
.flv
.gif
.html
.jpeg
.jpg
.mov
.mp3
.mp4
.pdf
.ppt
.pptx
.rar
.txt
.wav
.wma
.wmv
.xls
.xlsx
.xml
.zip
Hivatkozások
Egyéb referencia: isbk.hu
Gyártói referencia: www.symantec.com