Összefoglaló
A Cryptolocker trójai az elődjei az általa kifejtett negatív hatások eredményeként széles körű ismertséget szerzett. A Cryptolocker “G” betűjelű variánsa is ugyanolyan kockázatot jelent mint az elődje, mivel hasonló veszélyt jelent a felhasználóra. A rendszeren tárolt fájlokat a titkosítás miatt használhatatlanná teszi, majd pénzt követel a dekódoláshoz szükséges információkért. A Tor hálózatok segítenek eltüntetni a tranzakciók nyomait. Semmi sem garantálja azonban, hogy a fizetés után a helyreállításhoz szükséges információk meg is érkezzenek. Ezért a hangsúlyt a megelőzésre célszerű fektetni.
A Cryptolocker.G a Windows és a felhasználó könyvtáraiba másolja be a saját állományait, és megkeresi azokat a fájlokat, amelyeket titkosítani akar. A fájlok lehetnek tanúsítványok, dokumentumok, adatbázisok, valamint Excel munkafüzetek, stb. A fájlokat megtaláltva azonnal elvégzi azok titkosítását. Az állományokat “.ctbl” kiterjesztéssel látja el.
A Cryptolocker.G a követelését a Windows háttérkép lecserélésével közli a felhasználóval.
Leírás
1. A következő állományt hozza létre:
%Temp%[véletlenszerű karakterek].exe
%UserProfile%My Documents[véletlenszerű karakterek].html
%UserProfile%My DocumentsAllFilesAreLocked[véletlenszerű karakterek].bmp
%UserProfile%My DocumentsDecryptAllFiles[véletlenszerű karakterek].txt
%Windir%Tasks[véletlenszerű karakterek].job
2. A fertőzött számítógépen felkutatja az összes olyan fájlt, amelyek az alábbi kiterjesztésekkel rendelkeznek:
cer
crt
db
dbf
der
doc
docm
docx
groups
kwm
mdb
mdf
pem
pwm
rtf
safe
sql
txt
xlk
xls
xlsb
xlsm
xlsx
3. Titkosítja a fenti fájlokat, és egy karaktersorozattal egészíti ki a kiterjesztésüket “.ctbl”.
4.A háttérképet módosítja:
%UserProfile%My DocumentsAllFilesAreLocked[véletlenszerű karakterek].bmp
5. A felhasználót tudatja a tevékenységéről.
Támadás típusa
Crypthographical (Titkosítás)Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com