Összefoglaló
A Ransomcrypt.BB trójai káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.
Leírás
A Ransomcrypt.BE trójai alapvetően a fájltitkosító, zsaroló programok közé sorolható, azonban a készítői ennél tovább mentek, és igyekeznek sürgetni a felhasználókat a váltságdíj minél előbbi kifizetése érdekében. Közlik, hogy hat óránként egy-egy fájlt véletlenszerűen törölnek, amelyek már biztosan nem lesznek helyreállíthatóak. Ezen túlmenően 96 óra haladékot adnak a követelések teljesítésére, majd – elmondásuk szerint – végleg törlik a helyreállításhoz szükséges kulcsokat.
A Ransomcrypt.BE dokumentumokat, Excel táblákat, képeket, videókat és tömörített fájlokat is tönkretesz. Mindezt egy megtévesztő névvel ellátott (scvhost.exe) fájl segítségével végzi el. Ez az állomány természetesen nem a Windows rendszerállománya, hanem egy, az AppData könyvtárba bemásolt fájl.
Technikai részletek:
1. Létrehozza a következő állományt:
%AppData%scvhost.exe
2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”Windows Update” = “%AppData%scvhost.exe”
3. Felkutatja, majd letitkosítja a következő kiterjesztésekkel rendelkező állományokat:
.7z
.avi
.bmp
.doc
.docx
.flv
.gif
.html
.jpeg
.jpg
.mov
.mp3
.mp4
.pdf
.ppt
.pptx
.rar
.txt
.wav
.wma
.wmv
.xls
.xlsx
.xml
.zip
Támadás típusa
RansomwareTrójai
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Gyártói referencia: www.symantec.com