TROJ_CRYPTESLA.CAG

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Windows

Összefoglaló

A TROJ_CRYPTESLA.CAG ransomware egyike a Fiesta exploit kit payload-jának. Ezek a  kódok tipikusan elterjedt sérülékenységeket használnak ki.

A trójai egyéb kártevő révén vagy egy fertőzött weboldal meglátogatása után kerül a számítógépre.

Csatlakozik bizonyos weboldalakhoz, és információkat küld vagy fogad.

Leírás

Miután aktiválódik, másolja magát az alábbi helyre mag végrehajtja a kódot:

• %Application Data%{random filename}.exe

Másolja az alábbi állományokat:

• %Application Data%key.dat
• %Application Data%log.html (az összes titkosított fájl listája)
• %Desktop%HELP_RESTORE_FILES.bmp
• %Desktop%HELP_RESTORE_FILES.txt
• %Desktop%CryptoLocker.lnk (parancsikon a másolatokról)

Hozzáadja az alábbi mutexet, hogy megbizonyosodjon arról, hogy csak egyedül fut.

• System1230123

Autostart technika:

Az alábbi regisztrációs bejegyzéseket hozza létre annak érdekében, hogy a rendszerrel együtt indulhasson:

 HKEY_LOCAL_MACHINESOFTWAREMicrosoft

 WindowsCurrentVersionRun svv_e =

“%Application Data%{random filename}.exe”

 HKEY_LOCAL_MACHINESOFTWAREMicrosoft

 WindowsCurrentVersionRunOnce *svv_e =

“%Application Data%{random filename}.exe”

Egyéb rendszer módosítások:

HKEY_CURRENT_USERControl PanelDesktop 

_{WallpaperStyle = “0”}

_{HKEY_CURRENT_USERControl PanelDesktop}

_{TileWallpaper = “0”}

_{HKEY_CURRENT_USERControl PanelDesktop}

_{Wallpaper = “%Desktop%HELP_RESTORE_FILES.bmp”}

Folyamat megszűntetés

A kártevő leállítja azokat a folyamatokat, amelyeknek a neve az alábbi karaktereket tartalmazza:

• cmd.exe
• msconfig
• regedit
• procexp
• taskmgr

Egyéb tulajdonságok:

A kártevő csatlakozik az alábbi URL-hez, hogy megszerezze a fertőzött rendszer IP címét:

• http://ipinfo.io/ip

Csatlakozik az alábbi weboldalakhoz, hogy adatot küldjön és fogadjon:

• https://{BLOCKED}ib47vlep5o.tor2web.fi
• https://{BLOCKED}ib47vlep5o.tor2web.blutmagie.de
• https://{BLOCKED}ib47vlep5o.42kjb11.net
• https://{BLOCKED}q26q2h4jkzj.2kjb10.net

Titkosítja az alábbi kiterjesztésű állományokat minden mappában amit megtalál a fizikai meghajtókon. 

• .sql
• .mp4
• .7z
• .rar
• .m4a
• .wma
• .avi
• .wmv
• .csv
• .d3dbsp
• .zip
• .sie
• .sum
• .ibank
• .t13
• .t12
• .qdf
• .gdb
• .tax
• .pkpass
• .bc6
• .bc7
• .bkp
• .qic
• .bkf
• .sidn
• .sidd
• .mddata
• .itl
• .itdb
• .icxs
• .hvpl
• .hplg
• .hkdb
• .mdbackup
• .syncdb
• .gho
• .cas
• .svg
• .map
• .wmo
• .itm
• .sb
• .fos
• .mov
• .vdf
• .ztmp
• .sis
• .sid
• .ncf
• .menu
• .layout
• .dmp
• .blob
• .esm
• .vcf
• .vtf
• .dazip
• .fpk
• .mlx
• .kf
• .iwd
• .vpk
• .tor
• .psk
• .rim
• .w3x
• .fsh
• .ntl
• .arch00
• .lvl
• .snx
• .cfr
• .ff
• .vpp_pc
• .lrf
• .m2
• .mcmeta
• .vfs0
• .mpqge
• .kdb
• .db0
• .db
• .rofl
• .hkx
• .bar
• .upk
• .das
• .iwi
• .litemod
• .asset
• .forge
• .ltx
• .bsa
• .apk
• .re4
• .sav
• .lbf
• .slm
• .bik
• .epk
• .rgss3a
• .pak
• .big
• .unity3d
• .wotreplay
• .xxx
• .desc
• .py
• .m3u
• .flv
• .js
• .css
• .rb
• .png
• .jpeg
• .txt
• .p7c
• .p7b
• .p12
• .pfx
• .pem
• .crt
• .cer
• .der
• .x3f
• .srw
• .pef
• .ptx
• .r3d
• .rw2
• .rwl
• .raw
• .raf
• .orf
• .nrw
• .mrwref
• .mef
• .erf
• .kdc
• .dcr
• .cr2
• .crw
• .bay
• .sr2
• .srf
• .arw
• .3fr
• .dng
• .jpe
• .jp
• .cdr
• .indd
• .ai
• .eps
• .pdf
• .pdd
• .psd
• .dbf
• .mdf
• .wb2
• .rtf
• .wpd
• .dxg
• .xf
• .dwg
• .pst
• .accdb
• .mdb
• .pptm
• .pptx
• .ppt
• .xlk
• .xlsb
• .xlsm
• .xlsx
• .xls
• .wps
• .docm
• .docx
• .doc
• .odb
• .odc
• .odm
• .odp
• .ods
• .odt

A titkosított fájloknak ECC kiterjesztést ad.

Törli az árnyékmásolatokat a következő parancsal:

• %System%vssadmin.exe delete shadows /all /Quiet

Ezek után módosítja a háttérképet, amin a visszafejtéshez szükséges információkat mutatja.

Megoldás

Készítsen offline biztonsági mentést.

Használjon naprakész vírusírtó szoftvert.

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Egyéb referencia: www.trendmicro.com