Ransomcrypt trójai


2015. november 16. 13:19

CH azonosító

CH-12778

Angol cím

Ransomcrypt trojan

Felfedezés dátuma

2015.11.15.

Súlyosság

Közepes

Érintett rendszerek

Linux
Mac OS

Érintett verziók

Linux/Unix

Összefoglaló

A Ransomcrypt trójai készítői is úgy határoztak, hogy a Windows-os számítógépek mellett immár a Linuxot, valamint a Mac OS X-et is célkeresztbe állítják. 

Leírás

A kártékony programjuk Linux kompatibilis változata a céljait és a működését tekintve nagyon hasonlít a már jó ideje Windows alatt fertőző társaihoz. Ennek megfelelően fájlokat titkosít, majd váltságdíjat követel. A követelések azonban nem látványos, grafikus formában jelennek meg, hiszen ezúttal olyan rendszerek ostromlásáról van szó, amelyek sok esetben parancssoros módban működnek. Így aztán a trójai egyszerű, szöveges állományok révén közli a feltételeket, és a helyreállításhoz szükséges teendőket.

A linuxos Ransomcrypt az etc könyvtár mellett elsősorban olyan mappákban okoz pusztítást, amelyek webszerverekhez (például az Apache-hoz) tartoznak. Nem kíméli a HTML, a PHP, a Java, a Ruby, az ASP/ASPX stb. állományokat sem. Azokat mind titkosítja csakúgy, mint a szerverekre feltöltött Word, illetve PDF formátumú dokumentumokat, multimédiás állományokat és tömörített fájlokat.

Technikai részletek:

1. Létrehozza a következő állományokat:
/index.crypto
/readme.crypto
/[…]/README_FOR_DECRYPT.txt

2. Felkutatja az összes fájlt az alábbi mappákban, majd titkosítja azokat:
/home
/root
/var/lib/mysql
/var/www
/etc/nginx
/etc/apache2
/var/log
/etc/passwd

3. További titkosítandó állományokat kutat fel a következő könyvtárakban:
public_html
www
webapp
backup
.git
.svn

4. Az általa kompromittált állományok fájlnevét .encrypted kifejezéssel bővíti ki.

5. Minden olyan könyvtárba, amelyben fájlokat titkosított létrehoz egy szöveges állományt README_FOR_DECRYPT.txt néven.

Megoldás

  • Tartsa rendszerét naprakészen, mindig telepítse a legújabb frissítéseket!
  • Készítsen gyakran biztonsági mentést!
  • Ne nyisson meg ismeretlen feladótól érkező, vagy nem megbízható (SPAM) emaileket!
  • Ne töltse le, vagy nyissa meg ezen emailek mellékletét!
  • Használjon ransomware detektáló, és blokkoló termékeket!

Támadás típusa

Ransomware
Trójai

Hatás

Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »