Trojan.Phonywall


2015. december 14. 08:35

CH azonosító

CH-12855

Angol cím

Trojan.Phonywall

Felfedezés dátuma

2015.12.24.

Súlyosság

Közepes

Érintett rendszerek

Microsoft

Érintett verziók

Használjon offline biztonsági mentést.

Összefoglaló

A Phonywall trójai egy a Cryptowall ransomwarenak próbálja álcázni magát, azonban a fájlok titkosítása helyett csak felülírja azokat, majd váltságdíjat kér a titkosítatlan fájlok visszafejtésére.

Leírás

A trójai aktiválása után az alábbi fájlokat hozza létre:

  • %UserProfile%Application DataMicrosoftWindows[RANDOM CHARACTERS].exe
  • %AllUsersProfile%Application DataMicrosoftWindows[RANDOM CHARACTERS].exe

Létrehozza az alábbi rengisztrációs bejegyzéseket:

  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[RANDOM CHARACTERS]
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[RANDOM CHARACTERS]Type = 0x10
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[RANDOM CHARACTERS]Start = 2
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[RANDOM CHARACTERS]ErrorControl =1
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[RANDOM CHARACTERS]ImagePath =”%ALL_USERS%Application DataMicrosoftWindows[RANDOM CHARACTERS].exe” -run [PARAMETER]
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[RANDOM CHARACTERS]DisplayName= “CheckDisk Service”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[RANDOM CHARACTERS]Description= “Creates and displays a status report for a disk based on the file system. Chkdsk also lists and corrects errors on the disk.”
  • HKEY_LOCAL_MACHINESYSTEMCURRENTCONTROLSETENUMROOTLEGACY_[RANDOM CHARACTERS]
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun=”%USERAPPDATA%MicrosoftWindows[RANDOM CHARACTERS].exe”-run [PARAMETER]

Az alábbi név karaktereket tartalmazó fájlokat kivéve, felülírja a saját adataival a lemezen található összes állományt:

  • *.scr
  • *.exe
  • *.msi
  • *.msu
  • *.dll
  • *.ocx
  • *.ax
  • *.com
  • *.sys
  • *.lnk
  • *.inf
  • bootmgr
  • ntldr
  • boot.ini
  • ntuser.*

Nem írja felül az alábbi könyvtárakban található fájlokat:

  • Boot
  • Windows
  • Program Files*
  • System Volume Information

Leállítja az alábbi folyamatokat:

  • *sql*
  • *msdtssrvr*
  • *fdlauncher*
  • *ReportingServicesService*
  • *mad*
  • *exchange*
  • *w3wp*
  • *iis*
  • *exfba*
  • *store*
  • *inet*

Létrehozza a DECRYPT_INSTRUCTION.html állományt az összes felhasználó asztalán, melyben mindig a vRRRbw személyes kódot használja.

Támadás típusa

Other (Egyéb)
Trójai

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

https://www.symantec.com/security_response/writeup.jsp?docid=2015-112522-0935-99&tabid=2

Legfrissebb sérülékenységek
CVE-2024-41713 – Mitel MiCollab Path Traversal sérülékenysége
CVE-2024-55550 – Mitel MiCollab Path Traversal sérülékenysége
CVE-2021-44207 – Acclaim Systems USAHERDS Use of Hard-Coded Credentials sérülékenysége
CVE-2024-12356 – BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) Command Injection sérülékenysége
CVE-2022-23227 – NUUO NVRmini2 Devices Missing Authentication sérülékenysége
CVE-2024-51818 – Fancy Product Designer SQL injection sérülékenysége
CVE-2024-51919 – Fancy Product Designer ellenőrizetlen fájlfeltöltési sérülékenysége
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
Tovább a sérülékenységekhez »