Trojan.Cryptolocker.AP (Petya/Mischa)

CH azonosító

CH-13241

Angol cím

Trojan.Cryptolocker.AP

Felfedezés dátuma

2016.05.15.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows NT, Windows Vista, Windows XP

Összefoglaló

A Ransomcrypt.AP (Petya/Mischa) nevű, Windows operációs rendszereket támadó, trójai típusú káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás

A Petya ransomware frissített verziójában kijavították az előd hibáját, többé nincs feltétlenül szükség arra hogy rendszergazdai jogokkal fusson. A kártevőnek ahhoz továbbra is szüksége van admin jogosultságokra, hogy beírja magát a master boot rekordba, azonban ha ez nem sikerül, elhelyez egy második kártevőt ami jogosultságok nélkül titkosítja a számítógép állományait.

Az elhelyezett ransomware-t Mischa-nak nevezik, és úgy működik mint a többi ilyen kártevő. Átfésüli a meghajtókat, AES titkosítással felülírja a fájlokat, 4 karakteres kiterjesztést ad a módosított állományoknak, elhelyezi a titkosított visszafejtő kulcsot a számítógépen és körülbelül 2 Bitcoint kér annak feloldásához.

A Petya/Mischa kártevő kéretlen levelekkel együtt érkezik, álláshirdetésként álcázva magát, melyben egy link valamilyen felhőszolgáltatás címére mutat, ahol egy futtatható állomány van. Az állomány futásakor kéri a root jogosultságokat, ha ezt nem kapja meg aktiválódik a Micha kártevő.

 

UPDATE – 2017.07.07:

Publikussá vált a Mischa eredeti, privát titkosító kulcsa, amely által visszaállíthatók az eredeti fájlok (részletek az utolsó linken).

Megoldás

Használjon offline biztonsági mentést, és naprakész vírusírtó szoftvert.

Hivatkozások

Egyéb referencia: www.symantec.com
Egyéb referencia: www.securityweek.com
Egyéb referencia: www.bleepingcomputer.com
Egyéb referencia: www.bleepingcomputer.com


Legfrissebb sérülékenységek
CVE-2022-38063 – social login wp project / social login wp sérülékenysége
CVE-2023-25280 – dlink / dir820la1 firmware sérülékenysége
CVE-2023-28466 – Linux Kernel sérülékenysége
CVE-2023-28097 – OpenSIPS sérülékenysége
CVE-2023-28098 – OpenSIPS sérülékenysége
CVE-2023-28099 – OpenSIPS sérülékenysége
CVE-2022-44580 – RichPlugins Plugin For Google Reviews for WordPress sérülékenysége
CVE-2023-27239 – tenda / ax3 firmware sérülékenysége
CVE-2023-27240 – tenda / ax3 firmware sérülékenysége
CVE-2023-1327 – NETGEAR RAX30 Firmware sérülékenysége
Tovább a sérülékenységekhez »