Ransomcrypt.BE trójai

CH azonosító

CH-13455

Angol cím

Ransomcrypt.BE trojan

Felfedezés dátuma

2016.07.23.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft

Összefoglaló

A Ransomcrypt.BB trójai káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás

A Ransomcrypt.BE trójai alapvetően a fájltitkosító, zsaroló programok közé sorolható, azonban a készítői ennél tovább mentek, és igyekeznek sürgetni a felhasználókat a váltságdíj minél előbbi kifizetése érdekében. Közlik, hogy hat óránként egy-egy fájlt véletlenszerűen törölnek, amelyek már biztosan nem lesznek helyreállíthatóak. Ezen túlmenően 96 óra haladékot adnak a követelések teljesítésére, majd – elmondásuk szerint – végleg törlik a helyreállításhoz szükséges kulcsokat.

A Ransomcrypt.BE dokumentumokat, Excel táblákat, képeket, videókat és tömörített fájlokat is tönkretesz. Mindezt egy megtévesztő névvel ellátott (scvhost.exe) fájl segítségével végzi el. Ez az állomány természetesen nem a Windows rendszerállománya, hanem egy, az AppData könyvtárba bemásolt fájl.

Technikai részletek:

1. Létrehozza a következő állományt:
%AppData%scvhost.exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”Windows Update” = “%AppData%scvhost.exe”

3. Felkutatja, majd letitkosítja a következő kiterjesztésekkel rendelkező állományokat:
.7z
.avi
.bmp
.doc
.docx
.flv
.gif
.html
.jpeg
.jpg
.mov
.mp3
.mp4
.pdf
.ppt
.pptx
.rar
.txt
.wav
.wma
.wmv
.xls
.xlsx
.xml
.zip

Hivatkozások

Egyéb referencia: isbk.hu
Gyártói referencia: www.symantec.com