Összefoglaló
A Tobfy trójai káros kód vált ismertté, amelynek jelenlegi variánsa a Word dokumentumokban terjed és egy zsaroló vírus terjesztésében is szerepet játszik.
Leírás
Amikor a felhasználó egy ilyen fájlt megnyit, akkor a csalók megtévesztő üzenetekkel arra próbálják rávenni, hogy engedélyezze a makrók futtatását. Amennyiben erre sor kerül, akkor a károkozó előtt szabaddá válik az út és elkezd fájlokat letölteni, miközben rendszeresen kommunikál a vezérlőszervereivel is.
Önmaga ugyan nem okoz közvetlenül helyreállíthatatlan károkat, de a zsaroló vírussal történő fertőzés miatt közvetve már annál több problémát tud előidézni. Végső soron – biztonsági mentések hiányában – akár helyreállíthatatlan károkozáshoz is hozzájárulhat.
Technikai részletek:
1. A felhasználót a makrók futtatásának engedélyezésére kéri.
2. Amennyiben az engedélyt megkapja, akkor interneten keresztül különféle fájlokat tölt le.
3. Létrehozza a rendszeren az alábbi állományokat:
- %appdata%couth.exe
- %appdata%csrss_[…].exe
- %appdata%wsrv_[…].exe
4. Kommunikál a vezérlőszervereivel.
5. Olyan fájlokat is letölt, amelyek egy zsarolóvírushoz tartoznak.
6. Hozzájárul a merevlemez és az elérhető adattárolók titkosításához.
Megoldás
Használjon offline biztonsági mentést.
Támadás típusa
RansomwareTrójai
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu