Ransomware:Win32/Zuresq.A

CH azonosító

CH-11578

Angol cím

Ransomware:Win32/Zuresq.A

Felfedezés dátuma

2014.09.02.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Zuresq.A zsaroló program titkosítja az állományokat a fertőzött számítógépen, ezért azok használhatatlanná válnak. Ez után arra kéri áldozatát, hogy váltságdíjat fizessen a titkosított fájlokért.

A kártékony szoftver fórumokon, torrenten, ingyenes jogtiszta programként mutatja magát, így a gyanútlan felhasználó letöltheti azt.

Leírás

Amikor a program a számítógépre kerül, kapcsolódik egy távoli kiszolgálóhoz (például 5.199.171.47/patriote/<removed>) annak érdekében, hogy a legutóbbi verzióra frissítse magát.

Létrehozza a C:zerolocker mappát, és elhelyezi ide a frissített verzióját. A program a zerorescue.exe nevet használja jelenleg, ám ez verzióként változhat. Létezik olyan variáns, mely manager.exe néven telepítődik, aztán létrehozza a zerolocker mappát, és telepíti a program frissített verzióját.

Módosítja az alábbi regisztrációs bejegyzést annak érdekében, hogy a Windows-zal együtt, automatikusan indulhasson: HKCUSoftwareMicrosoftWindowCurrentVersionRun helyen a “FileRescue” értéket “C:zerolockerzerorescue.exe” adattal.

Titkosítás:

A program titkosítja az állományokat, melyek a művelet után használhatatlanná válnak. A titkosítást véletlenszerű kulcs generálásával hajtja végre, amit a zsaroló program feltölt egy távoli kiszolgálóra, így az állományok visszafejthetőek maradnak.

Minden olyan könyvtárban található állomány titkosításra kerül, ami az alábbi mappákon kívül a számítógépen van:

  • Desktop
  • Program Files
  • Windows
  • Zerolocker

Elhelyez egy képet az asztalon, ami egy üzenetet mutat arról, hogyan fejtheti vissza a felhasználó a fájljait. Ennek érdekében 300 és 1000 dollár közötti árat kell megfizetni Bitcoin használatával.

A .encrypt karaktereket hozzáadja a titkosított fájlok nevének végéhez.

A program képes megtéveszteni a különböző biztonsági szoftvereket, és elbújni azok elől.

A szoftver RijndaelManaged (AES) titkosítást használ, és véletlenszerű kódot generál, amit feltölt egy távoli kiszolgálóra. A kulcs alfanumerikus számokat tartalmaz, melyek 0x14 hosszúságúak, emellett SHA512 kriptográfiai hash függvényt használ, amikor titkosítja az állományokat.

Megoldás

Frissítse a biztonsági szoftverek adatbázisát.

Hivatkozások

Gyártói referencia: www.microsoft.com