Összefoglaló
A CRYPCTB.A trójai program egyéb kártékony programok segítségével, vagy egy fertőzött weboldal meglátogatásával kerül a számítógépre.
A program egy CryptoLocker variáns, amely a C&C szerverekkel való kommunikációját TOR rendszer segítségével rejti el.
Leírás
A trójai létrehozza a következő fájlokat:
- %User Profile%My Documents{random filename 2}.html – a titkosított fájlok listája
- %User Profile%My DocumentsAllFilesAreLocked{number}.bmp – a háttérkép amelyet a program használ
- %User Profile%My DocumentsDecryptAllFiles{number}.txt – a zsaroló üzenet
- %Windows%Tasks{random filename 3}.job
A következő állományt másolja a fertőzött rendszerre:
- %User Temp%{random filename 1}.exe
A trójai módosítja a következő regisztrációs bejegyzést:
HKEY_CURRENT_USERControl PanelDesktop Wallpaper
(Default) = “%User Profile%My DocumentsAllFilesAreLocked{number}.bmp”
A következőkben beállít egy háttérképet, amelyen a titkosítás technikai információi láthatóak, illetve segítséget nyújt a TOR feltelepítéséhez, hogy kapcsolódni tudjon az URL-hez, ahonnan a privát visszafejtő kulcsot letölti.
A trójai a következő kiterjesztésű fájlokat titkosítja:
- xlsx
- xlsm
- xlsb
- xls
- xlk
- txt
- sql
- safe
- rtf
- pwm
- pem
- mdf
- mdb
- kwm
- groups
- docx
- docm
- doc
- der
- dbf
- db
- crt
- cer
A titkosított fájlok a .ctbl kiterjesztést kapják.
Támadás típusa
Crypthographical (Titkosítás)Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: about-threats.trendmicro.com
