Ransomcrypt.BE trójai

CH azonosító

CH-13455

Angol cím

Ransomcrypt.BE trojan

Felfedezés dátuma

2016.07.23.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft

Összefoglaló

A Ransomcrypt.BB trójai káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás

A Ransomcrypt.BE trójai alapvetően a fájltitkosító, zsaroló programok közé sorolható, azonban a készítői ennél tovább mentek, és igyekeznek sürgetni a felhasználókat a váltságdíj minél előbbi kifizetése érdekében. Közlik, hogy hat óránként egy-egy fájlt véletlenszerűen törölnek, amelyek már biztosan nem lesznek helyreállíthatóak. Ezen túlmenően 96 óra haladékot adnak a követelések teljesítésére, majd – elmondásuk szerint – végleg törlik a helyreállításhoz szükséges kulcsokat.

A Ransomcrypt.BE dokumentumokat, Excel táblákat, képeket, videókat és tömörített fájlokat is tönkretesz. Mindezt egy megtévesztő névvel ellátott (scvhost.exe) fájl segítségével végzi el. Ez az állomány természetesen nem a Windows rendszerállománya, hanem egy, az AppData könyvtárba bemásolt fájl.

Technikai részletek:

1. Létrehozza a következő állományt:
%AppData%scvhost.exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”Windows Update” = “%AppData%scvhost.exe”

3. Felkutatja, majd letitkosítja a következő kiterjesztésekkel rendelkező állományokat:
.7z
.avi
.bmp
.doc
.docx
.flv
.gif
.html
.jpeg
.jpg
.mov
.mp3
.mp4
.pdf
.ppt
.pptx
.rar
.txt
.wav
.wma
.wmv
.xls
.xlsx
.xml
.zip

Hivatkozások

Egyéb referencia: isbk.hu
Gyártói referencia: www.symantec.com


Legfrissebb sérülékenységek
CVE-2023-4863 – Google Chrome sérülékenysége
CVE-2023-40186 – FreeRDP sérülékenysége
CVE-2023-20890 – VMware Aria Operations For Networks sérülékenysége
CVE-2023-34039 – VMware Aria Operations for Networks sérülékenysége
CVE-2023-23770 – Motorola MBTS Site Controller sérülékenysége
CVE-2023-38388 – JupiterX Core Premium WordPress Plugin sérülékenysége
CVE-2023-38831 – RARLabs WinRAR sérülékenysége
CVE-2023-38035 – Ivanti Sentry sérülékenysége
CVE-2023-20212 – ClamAV sérülékenysége
CVE-2023-36847 – Juniper Networks Junos OS sérülékenysége
Tovább a sérülékenységekhez »