Összefoglaló
A Cryptolocker.H egy olyan trójai, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja neki eladni a titkosítás feloldásához szükséges jelszót.
Leírás
Futtatásnál a trójai létrehozza a következő állományokat: %Windir%[RANDOM FILE NAME].exe
A trójai létrehozza az alábbi regisztrációs bejegyzést annak érdekében hogy minden windows indulásnál futhasson:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”[RANDOM NAME]” = “%Windir%[RANDOM FILE NAME].exe”
Létrehozza az alábbi regisztrációs bejegyzéseket:
- HKEY_CURRENT_USERSoftwareBit Torrent ApplicationConfiguration”00000000″ = “[BINARY DATA]”
- HKEY_CURRENT_USERSoftwareBit Torrent ApplicationConfiguration”01000000″ = “[BINARY DATA]”
- HKEY_CURRENT_USERSoftwareBit Torrent ApplicationConfiguration”02000000″ = “[BINARY DATA]”
- HKEY_CURRENT_USERSoftwareBit Torrent ApplicationConfiguration”03000000″ = “[BINARY DATA]”
A következőkben a trójai titkosítja az állományokat a fertőzött számítógépen.
A titkosított fájlok “.encrypted” kiterjesztést kapnak.
A trójai “váltságdíj” üzeneteket jelenít meg az dekódoláshoz szükséges információkkal.
A trójai megszerzi a következő információkat a Microsoft’s Outlook, Outlook Express, or Mozilla’s Thunderbird email kliensekből a ferztőzött számítógépen:
- Passwords
- Email addresses
Az információkat feltölti az alábbi távoli címre: [http://]decryptionguru.com/gate[REMOVED]
Támadás típusa
Crypthographical (Titkosítás)Information disclosure (Információ/adat szivárgás)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.symantec.com