Trojan.Ransomcrypt.AW (BlackShader)

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Windows 2000, Windows 7, Windows 8, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Ransomcrypt.AW nevű, Windows operációs rendszereket támadó, zsaroló trójai káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás

Ha a trójai aktiválódik, létrehozza az alábbi állományokat:

• %UserProfile%DesktopYourID.txt
• %UserProfile%DownloadsYourID.txt
• %UserProfile%Desktop??? ?????????????
• %UserProfile%Application DataWindowswin.exe
• %SystemDrive%Documents and SettingsAll UsersStart MenuProgramsStartupwin.exe
• %SystemDrive%Documents and SettingsAll UsersStart MenuProgramsStartupHacked_Read_me_to_decrypt_files.html
• %UserProfile%DownloadsHacked_Read_me_to_decrypt_files.html
• %UserProfile%DocumentsHacked_Read_me_to_decrypt_files.html
• %UserProfile%PicturesHacked_Read_me_to_decrypt_files.html
• %UserProfile%MusicHacked_Read_me_to_decrypt_files.html
• %UserProfile%VideosHacked_Read_me_to_decrypt_files.html

Létrehozza az alábbi regisztrációs bejegyzéseket:

• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunDriver=%UserProfile%Application DataWindowswin.exe /autostart
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableTaskMgr=1
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRestoreSetupGeneralizeDisableSR=1

Csatlakozik az http://icanhazip.com helyre, hogy megállapítsa a fertőzött számítógép IP címét.

Ezután csatlakozik a [http://]104.168.188.170 szerverhez.

Elküldi az alábbi információkat:

• Hostnév
• Felhasználónév
• IP cím
• Kulcs
• Jelenlegi dátum és idő
• A titkosított állományok száma
• Kampány ID

Titkosítja az alábbi kiterjesztésű állományokat, melyek a .slient kiterjesztést kapják:

• .vb
• .cs
• .c
• .h
• .html
• .7z
• .tar
• .gz
• .m4a
• .wma
• .aac
• .csv
• .rm
• .txt
• .text
• .zip
• .rar
• .m
• .ai
• .cs
• .db
• .nd
• .xlsx
• .pl
• .ps
• .py
• .3dm
• .3ds
• .3fr
• .3g2
• .ini
• .xml
• .jar
• .lz
• .mda
• .log
• .mpeg
• .myo
• .fon
• .gif
• .JNG
• .jp2
• .PC3
• .PC2
• .PC1
• .PNS
• .MP2
• .AAC
• .3gp
• .ach
• .arw
• .asf
• .asx
• .avi
• .bak
• .bay
• .mpg
• .mpe
• .swf
• .PPJ
• .cdr
• .cer
• .cpp
• .cr2
• .crt
• .crw
• .dbf
• .dcr
• .html
• .xhtml
• .mhtml
• .asp
• .dds
• .der
• .des
• .dng
• .doc
• .dtd
• .dwg
• .dxf
• .CSS
• .rss
• .jsp
• .php
• .dxg
• .eml
• .eps
• .ert
• .fla
• .fla
• .flv
• .hpp
• .docm
• .docx
• .flac
• .iif
• .ipe
• .ipg
• .kdc
• .key
• .lua
• .m4v
• .max
• .xls
• .yuv
• .back
• .mdb
• .mdf
• .mef
• .mov
• .mp3
• .mp4
• .mpg
• .mrw
• .x3f
• .xlk
• .xlr
• .msg
• .nef
• .nk2
• .nrw
• .oab
• .obi
• .odb
• .odc
• .wmv
• .wpd
• .wps
• .odm
• .odp
• .ods
• .odt
• .orf
• .ost
• .p12
• .p7b
• .vob
• .wav
• .wb2
• .p7c
• .pab
• .pas
• .pct
• .pdb
• .pdd
• .pdf
• .per
• .sr2
• .srf
• .str
• .ar
• .bz2
• .rz
• .s7z
• .apk
• .zipx
• .pem
• .pfx
• .pps
• .ppt
• .prf
• .psd
• .pst
• .ptx
• .rw2
• .rwl
• .sql
• .3gp
• .qba
• .qbb
• .qbm
• .qbr
• .qbw
• .qbx
• .qby
• .r3d
• .raf
• .raw
• .rtf
• .AVI
• .indd
• .java
• .jpeg
• .pptm
• .pptx
• .xlsb
• .xlsm
• .jpg
• .png
• .ico
• .JPG
• .MP4
• .MP4
• .FLV
• .MKV

Az érintett mappákban létrehozza a Hacked_Read_me_to_decrypt_files.Html állományt.

Végül egy a titkosítás visszafejtéséhez szükséges leírást mutat meg.

Megoldás

Használjon offline biztonsági mentést.

Támadás típusa

Szükséges hozzáférés

Hivatkozások

Egyéb referencia: www.symantec.com