Ransomware:Win32/Zuresq.A


2014. szeptember 4. 10:20

CH azonosító

CH-11578

Angol cím

Ransomware:Win32/Zuresq.A

Felfedezés dátuma

2014.09.02.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Zuresq.A zsaroló program titkosítja az állományokat a fertőzött számítógépen, ezért azok használhatatlanná válnak. Ez után arra kéri áldozatát, hogy váltságdíjat fizessen a titkosított fájlokért.

A kártékony szoftver fórumokon, torrenten, ingyenes jogtiszta programként mutatja magát, így a gyanútlan felhasználó letöltheti azt.

Leírás

Amikor a program a számítógépre kerül, kapcsolódik egy távoli kiszolgálóhoz (például 5.199.171.47/patriote/<removed>) annak érdekében, hogy a legutóbbi verzióra frissítse magát.

Létrehozza a C:zerolocker mappát, és elhelyezi ide a frissített verzióját. A program a zerorescue.exe nevet használja jelenleg, ám ez verzióként változhat. Létezik olyan variáns, mely manager.exe néven telepítődik, aztán létrehozza a zerolocker mappát, és telepíti a program frissített verzióját.

Módosítja az alábbi regisztrációs bejegyzést annak érdekében, hogy a Windows-zal együtt, automatikusan indulhasson: HKCUSoftwareMicrosoftWindowCurrentVersionRun helyen a “FileRescue” értéket “C:zerolockerzerorescue.exe” adattal.

Titkosítás:

A program titkosítja az állományokat, melyek a művelet után használhatatlanná válnak. A titkosítást véletlenszerű kulcs generálásával hajtja végre, amit a zsaroló program feltölt egy távoli kiszolgálóra, így az állományok visszafejthetőek maradnak.

Minden olyan könyvtárban található állomány titkosításra kerül, ami az alábbi mappákon kívül a számítógépen van:

  • Desktop
  • Program Files
  • Windows
  • Zerolocker

Elhelyez egy képet az asztalon, ami egy üzenetet mutat arról, hogyan fejtheti vissza a felhasználó a fájljait. Ennek érdekében 300 és 1000 dollár közötti árat kell megfizetni Bitcoin használatával.

A .encrypt karaktereket hozzáadja a titkosított fájlok nevének végéhez.

A program képes megtéveszteni a különböző biztonsági szoftvereket, és elbújni azok elől.

A szoftver RijndaelManaged (AES) titkosítást használ, és véletlenszerű kódot generál, amit feltölt egy távoli kiszolgálóra. A kulcs alfanumerikus számokat tartalmaz, melyek 0x14 hosszúságúak, emellett SHA512 kriptográfiai hash függvényt használ, amikor titkosítja az állományokat.

Megoldás

Frissítse a biztonsági szoftverek adatbázisát.

Támadás típusa

Crypthographical (Titkosítás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.microsoft.com

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »