Roduk.A trójai

CH azonosító

CH-12336

Angol cím

TrojanDownloader:PowerShell/Roduk.A

Felfedezés dátuma

2015.06.15.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Roduk trójai is azon kártékony programokhoz csatlakozott, amelyek a felhasználók megzsarolásával próbálják elérni, hogy a csalók pénzhez juthassanak. A már jól ismert technikát alkalmazza, miszerint felkutatja a számára érdekes állományokat, amelyeket erős titkosítással lát el. Ezt követően egy üzenet segítségével közli a felhasználóval, hogy a fájlok dekódolásához szükséges kulcshoz 450 ausztrál dollár vagy ezzel egyenértékű Bitcoin fejében juthat hozzá.

A Roduk.A az Office állományokra, dokumentumokra, szöveges fájlokra, adatbázisokra, valamint a képállományokra is veszélyt jelent. Megfelelő biztonsági mentés hiányában pedig helyreállíthatatlan károkat képes okozni, ezért a védett PC-kről leválasztottan tárolt biztonsági mentések készítésére célszerű nagy hangsúlyt helyezni.

A Roduk.A trójai terjesztésében, illetve a fertőzésben egy PowerShell script is szerepet kap.

Leírás

1. Létrehozza a következő állományokat:

  • c:1locked.bmp
  • c:1reflect.dll 
  • c:1t.dll 
  • %desktop%encrypted.htm 
  • %desktop%qwer.html 
  • %desktop%qwer2.html

2. Egy kiterjesztéseket tartalmazó lista alapján felkutatja a számára érdekes állományokat.

3. A feltárt fájlokat letitkosítja.

4. Megjelenít egy üzenetet, amelyben közli a követeléseit.

5. Törli a fájlokhoz tartozó árnyékmásolatokat.

6. Törli a Windows helyreállítási pontjait.

Megoldás

  • Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool