Ransomcrypt.T trójai

2015. június 5. 06:47

CH azonosító

CH-12307

Angol cím

Trojan.Ransomcrypt.T

Felfedezés dátuma

2015.06.03.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Ransomcrypt.T egy trójai, ami titkosítja a fertőzött számítógép fájljait, majd a visszafejtésükhöz váltságdíjat kér.

Leírás

Mikor aktiválódik, létrehozza az alábbi fájlokat:

%Windir%csrss.exe
%Temp%lock
%Temp%state
%UserProfile%Application Data[RANDOM CHARACTERS].bmp

Ezek után létrehozza az alábbi regisztrációs adatbázis bejegyzést annak érdekében, hogy automatikusan indulhasson:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Client Server Runtime Subsystem” = “%Windir%csrss.exe”

Csatlakozni próbál az alábbi kiszolgálókhoz.

[http://]gxyvmhc55s4fss2q.onion/reg[REMOVED]
[http://]gxyvmhc55s4fss2q.onion/prog[REMOVED]
[http://]gxyvmhc55s4fss2q.onion/err[REMOVED]
[http://]gxyvmhc55s4fss2q.onion/cmd[REMOVED]
[http://]gxyvmhc55s4fss2q.onion/sys[REMOVED]

A trójai keresést indít a nem hordozható, hordozható és hálózati tárolókon majd titkosítja az alábbi kiterjesztésű fájlokat:

.1cd
.3ds
.3fr
.3g2
.3gp
.7z
.accda
.accdb
.accdc
.accde
.accdt
.accdw
.adb
.adp
.ai
.ai3
.ai4
.ai5
.ai6
.ai7
.ai8
.anim
.arw
.as
.asa
.asc
.ascx
.asm
.asmx
.asp
.aspx
.asr
.asx
.avi
.avs
.backup
.bak
.bay
.bd
.bin
.bmp
.bz2
.c
.cdr
.cer
.cf
.cfc
.cfm
.cfml
.cfu
.chm
.cin
.class
.clx
.config
.cpp
.cr2
.crt
.crw
.cs
.css
.csv
.cub
.dae
.dat
.db
.dbf
.dbx
.dc3
.dcm
.dcr
.der
.dib
.dic
.dif
.divx
.djvu
.dng
.doc
.docm
.docx
.dot
.dotm
.dotx
.dpx
.dqy
.dsn
.dt
.dtd
.dwg
.dwt
.dx
.dxf
.edml
.efd
.elf
.emf
.emz
.epf
.eps
.epsf
.epsp
.erf
.exr
.f4v
.fido
.flm
.flv
.frm
.fxg
.geo
.gif
.grs
.gz
.h
.hdr
.hpp
.hta
.htc
.htm
.html
.icb
.ics
.iff
.inc
.indd
.ini
.iqy
.j2c
.j2k
.java
.jp2
.jpc
.jpe
.jpeg
.jpf
.jpg
.jpx
.js
.jsf
.json
.jsp
.kdc
.kmz
.kwm
.lasso
.lbi
.lgf
.lgp
.log
.m1v
.m4a
.m4v
.max
.md
.mda
.mdb
.mde
.mdf
.mdw
.mef
.mft
.mfw
.mht
.mhtml
.mka
.mkidx
.mkv
.mos
.mov
.mp3
.mp4
.mpeg
.mpg
.mpv
.mrw
.msg
.mxl
.myd
.myi
.nef
.nrw
.obj
.odb
.odc
.odm
.odp
.ods
.oft
.one
.onepkg
.onetoc2
.opt
.oqy
.orf
.p12
.p7b
.p7c
.pam
.pbm
.pct
.pcx
.pdd
.pdf
.pdp
.pef
.pem
.pff
.pfm
.pfx
.pgm
.php
.php3
.php4
.php5
.phtml
.pict
.pl
.pls
.pm
.png
.pnm
.pot
.potm
.potx
.ppa
.ppam
.ppm
.pps
.ppsm
.ppt
.pptm
.pptx
.prn
.ps
.psb
.psd
.pst
.ptx
.pub
.pwm
.pxr
.py
.qt
.r3d
.raf
.rar
.raw
.rdf
.rgbe
.rle
.rqy
.rss
.rtf
.rw2
.rwl
.safe
.sct
.sdpx
.shtm
.shtml
.slk
.sln
.sql
.sr2
.srf
.srw
.ssi
.st
.stm
.svg
.svgz
.swf
.tab
.tar
.tbb
.tbi
.tbk
.tdi
.tga
.thmx
.tif
.tiff
.tld
.torrent
.tpl
.txt
.u3d
.udl
.uxdc
.vb
.vbs
.vcs
.vda
.vdr
.vdw
.vdx
.vrp
.vsd
.vss
.vst
.vsw
.vsx
.vtm
.vtml
.vtx
.wb2
.wav
.wbm
.wbmp
.wim
.wmf
.wml
.wmv
.wpd
.wps
.x3f
.xl
.xla
.xlam
.xlk
.xlm
.xls
.xlsb
.xlsm
.xlsx
.xlt
.xltm
.xltx
.xlw
.xml
.xps
.xsd
.xsf
.xsl
.xslt
.xsn
.xtp
.xtp2
.xyze
.xz
.zip

A titkosított fájlok .xtbl kiterjesztést kapnak.

Az alábbi fájlt másolja minden olyan mappába, amiben van titkosított állomány.

[PATH TO ENCRYPTED FILES]README[RANDOM NUMBER].txt

A trójai megváltoztatja a háttérképet mely egy orosz és angol nyelvű feliratot tartalmaz. A szöveg tájékoztatja a felhasználót arról, hogy az állományai titkosítottak, és kéri hogy a [PATH TO ENCRYPTED FILES]README[RANDOM NUMBER].txt fájlt nyissa meg a felhasználó a további információk érdekében.