Összefoglaló
A Ransomcrypt.BG nevű, Windows operációs rendszereket támadó, zsaroló trójai káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.
Leírás
1. Amikor a trójai aktiválódik, létrehozza az alábbi regisztrációs bejegyzést: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRundecrypter=%AppData%Settings[RANDOM CHARACTERS].exe
2. Létrehozza az alábbi állományokat:
- %AppData%Settings[RANDOM CHARACTERS].exe
- %AppData%Settingsfile.ini
- %SystemDrive%Documents and SettingsAll UsersDesktopUNLOCK ME.url
3. Az alábbi kiterjesztésű fájlokat titkosítja, amelyek ezt követően a .locked kiterjesztést kapják:
- .bmp
- .gif
- .jpeg
- .jpg
- .png
- .psd
- .gif
- .txt
- .rtf
- .odt
- .doc
- .docx
- .mp4
- .m4v
- .ppt
- .pptx
- .xls
- .xlsx
4. Végül megmutatja a titkosítás visszafejtéséhez szükséges leírást (zsarolólevél).
Megoldás
Használjon offline biztonsági mentést.
Támadás típusa
RansomwareHatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com