Ransomware:Win32/Zuresq.A


2014. szeptember 4. 10:20

CH azonosító

CH-11578

Angol cím

Ransomware:Win32/Zuresq.A

Felfedezés dátuma

2014.09.02.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Zuresq.A zsaroló program titkosítja az állományokat a fertőzött számítógépen, ezért azok használhatatlanná válnak. Ez után arra kéri áldozatát, hogy váltságdíjat fizessen a titkosított fájlokért.

A kártékony szoftver fórumokon, torrenten, ingyenes jogtiszta programként mutatja magát, így a gyanútlan felhasználó letöltheti azt.

Leírás

Amikor a program a számítógépre kerül, kapcsolódik egy távoli kiszolgálóhoz (például 5.199.171.47/patriote/<removed>) annak érdekében, hogy a legutóbbi verzióra frissítse magát.

Létrehozza a C:zerolocker mappát, és elhelyezi ide a frissített verzióját. A program a zerorescue.exe nevet használja jelenleg, ám ez verzióként változhat. Létezik olyan variáns, mely manager.exe néven telepítődik, aztán létrehozza a zerolocker mappát, és telepíti a program frissített verzióját.

Módosítja az alábbi regisztrációs bejegyzést annak érdekében, hogy a Windows-zal együtt, automatikusan indulhasson: HKCUSoftwareMicrosoftWindowCurrentVersionRun helyen a “FileRescue” értéket “C:zerolockerzerorescue.exe” adattal.

Titkosítás:

A program titkosítja az állományokat, melyek a művelet után használhatatlanná válnak. A titkosítást véletlenszerű kulcs generálásával hajtja végre, amit a zsaroló program feltölt egy távoli kiszolgálóra, így az állományok visszafejthetőek maradnak.

Minden olyan könyvtárban található állomány titkosításra kerül, ami az alábbi mappákon kívül a számítógépen van:

  • Desktop
  • Program Files
  • Windows
  • Zerolocker

Elhelyez egy képet az asztalon, ami egy üzenetet mutat arról, hogyan fejtheti vissza a felhasználó a fájljait. Ennek érdekében 300 és 1000 dollár közötti árat kell megfizetni Bitcoin használatával.

A .encrypt karaktereket hozzáadja a titkosított fájlok nevének végéhez.

A program képes megtéveszteni a különböző biztonsági szoftvereket, és elbújni azok elől.

A szoftver RijndaelManaged (AES) titkosítást használ, és véletlenszerű kódot generál, amit feltölt egy távoli kiszolgálóra. A kulcs alfanumerikus számokat tartalmaz, melyek 0x14 hosszúságúak, emellett SHA512 kriptográfiai hash függvényt használ, amikor titkosítja az állományokat.

Megoldás

Frissítse a biztonsági szoftverek adatbázisát.

Támadás típusa

Crypthographical (Titkosítás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.microsoft.com

Legfrissebb sérülékenységek
CVE-2025-40602 – SonicWall SMA1000 Missing Authorization sérülékenysége
CVE-2025-59374 – ASUS Live Update Embedded Malicious Code sérülékenysége
CVE-2025-20393 – Cisco Multiple Products Improper Input Validation sérülékenysége
CVE-2025-58360 – OSGeo GeoServer Improper Restriction of XML External Entity Reference sérülékenysége
CVE-2018-4063 – Sierra Wireless AirLink ALEOS Unrestricted Upload of File with Dangerous Type sérülékenysége
CVE-2025-14174 – Google Chromium Out of Bounds Memory Access sérülékenysége
CVE-2025-14611 – Gladinet CentreStack and Triofox Hard Coded Cryptographic sérülékenysége
CVE-2025-43529 – Apple Multiple Products Use-After-Free WebKit sérülékenysége
CVE-2025-21621 – GeoServer Reflected Cross-Site Scripting (XSS) sérülékenység
CVE-2025-64471 – Fortinet FortiWeb sérülékenysége
Tovább a sérülékenységekhez »