Ransomcrypt.U trójai

CH azonosító

CH-12663

Angol cím

Ransomcrypt.U trojan

Felfedezés dátuma

2015.09.30.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Ransomcrypt.U trójai nagyon komoly akár helyreállíthatatlan károkat képes előidézni a fertőzött rendszereken.

Leírás

Mindezt azáltal, hogy különféle állományokat titkosít le, majd megzsarolja a felhasználókat. A kompromittált állományok fájlnevét teljes mértékben átalakítja, és azokhoz hozzáfűzi az aktuális rendszeridőt, egy e-mail címet, valamint egy .cbf kiterjesztést. Amint a titkosítási folyamatokkal végez, akkor megváltoztatja az Asztal háttérképét, vagyis feltűnő módon tudatja a felhasználóval, hogy mi is történt, majd közli a követeléseit.

A Ransomcrypt.U alapvetően két könyvtárba fészkeli be magát. Egyrészt a Program Files mappába, másrészt az átmeneti fájlok tárolására szolgáló (Temp) könyvtárba. Ide kerülnek azok a képállományok is, amelyek később az Asztal háttérére kerülnek.

A trójai ez esetben is egy tekintélyes méretű kiterjesztéslistával rendelkezik, ami azt jelenti, hogy megannyi fájl tönkretételére alkalmas, beleértve a dokumentumokat, a fényképeket, a multimédiás állományokat és az adatbázisokat is.

Technikai részletek

1. Létrehozza a következő állományokat:
%Temp%desk.bmp
%Temp%desk.jpg
%ProgramFiles%[…].exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”pr” = “%ProgramFiles%[…].exe”

3. A regisztrációs adatbázisban manipulálja a következő értékeket:
HKEY_CURRENT_USERControl PanelDesktop”TileWallpaper” = “0”
HKEY_CURRENT_USERControl PanelDesktop”Wallpaper” = “%Temp%desk.bmp”

4. Egy kiterjesztéslista alapján felkutatja a számára érdekes állományokat.

5. A felkutatott fájlokat titkosítja.

6. A titkosított állományok nevét megváltoztatja, és kiegészíti egyebek mellett dátum és idő adatokkal, egy e-mail címmel, valamint egy .cbf kiterjesztéssel.

7. Kapcsolódik egy távoli kiszolgálóhoz, amelyekre rendszerinformációkat tölt fel.

8. Megváltoztatja az Asztal háttérképét.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
  • Használjon offline biztonsági mentést!
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool