Trojan.Ransomcrypt.AQ


2016. május 17. 06:55

CH azonosító

CH-13240

Angol cím

Trojan.Ransomcrypt.AQ

Felfedezés dátuma

2016.05.15.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows NT, Windows Vista, Windows XP

Összefoglaló

A Ransomcrypt.AQ nevű, Windows operációs rendszereket támadó, trójai típusú káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás

Ha aktiválódott, titkosítja az alábbi kiterjesztésű fájlokat:

  • .3ds
  • .4db
  • .4dd
  • .7z
  • .7zip
  • .accdb
  • .accdt
  • .aep
  • .aes
  • .ai
  • .alk
  • .arj
  • .axx
  • .bak
  • .bpw
  • .cdr
  • .cer
  • .crp
  • .crt
  • .csv
  • .db
  • .dbf
  • .dbx
  • .der
  • .doc
  • .docm
  • .docx
  • .dot
  • .dotm
  • .dotx
  • .drc
  • .dwfx
  • .dwg
  • .dwk
  • .dxf
  • .eml
  • .enz
  • .fdb
  • .flk
  • .flka
  • .flkb
  • .flkw
  • .flwa
  • .gdb
  • .gho
  • .gpg
  • .gxk
  • .hid
  • .hid2
  • .idx
  • .ifx
  • .iso
  • .k2p
  • .kdb
  • .kdbx
  • .key
  • .ksd
  • .max
  • .mdb
  • .mdf
  • .mpd
  • .mpp
  • .myo
  • .nba
  • .nbf
  • .nsf
  • .nv2
  • .odb
  • .odp
  • .ods
  • .odt
  • .ofx
  • .ost
  • .p12
  • .pdb
  • .pdf
  • .pfx
  • .pgp
  • .ppj
  • .pps
  • .ppsx
  • .ppt
  • .pptx
  • .prproj
  • .psd
  • .pst
  • .psw
  • .qba
  • .qbb
  • .qbo
  • .qbw
  • .qfx
  • .qif
  • .rar
  • .raw
  • .rfp
  • .rpt
  • .rsa
  • .rtf
  • .saj
  • .sdc
  • .sdf
  • .sef
  • .sko
  • .sql
  • .sqlite
  • .sxc
  • .tar
  • .tax
  • .tbl
  • .tc
  • .tib
  • .txt
  • .wdb
  • .xbrl
  • .xls
  • .xlsm
  • .xlsx
  • .xml
  • .zip

A kártevő létrehozza az alábbi fájlok valamelyikét, mely tartalmazza a zsaroló szöveget:

  • [FOLDER NAME]4202016INFECCIONZ.txt
  • [FOLDER NAME]4-15-2016-INFECTION.TXT
  • [FOLDER NAME]OKSOWHATHAPPENDTOYOURFILES.TXT

Létrehozza az alábbi fájlok valamelyikét, mely tartalmazza a titkosító kulcsot:

  • [FOLDER NAME]419201600ABC.KEYHOLES:
  • [FOLDER NAME]sekretzbel0ngt0us.KEY
  • [FOLDER NAME]4152016000.KEY

Létrehozza a %UserProfile%My Documents[UNIQUE ID NUMBER].txt fájlt.

Csatlakozik a kentamplin.net-hez és megpróbálja elküldeni az alábbi információkat:

  • Egyedi azonosító szám
  • Számítógép neve
  • OS verzió
  • A számítógép 32, vagy 64-bit arhitektúrájú-e
  • A számítógép szerver-e

Végül egy a titkosítás visszafejtéséhez szükséges leírást mutat meg.

Megoldás

Használjon offline biztonsági mentést.

Támadás típusa

Ransomware

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »