Összefoglaló
A Ransomlock “AK” trójai hasonlít az elődjeire. A terjesztőit zsarolással próbálja pénzhez juttatni. A trójai zárolja a képernyőt és megjelenik egy üzenetablak, amely arról tájékoztat, hogy a felhasználónak váltságdíjat kell fizetni a számítógép további működéséért.
A károkozó miatt nem lehet szoftvereket futtatni amíg a váltságdíj kiegyenlítése meg nem történik. A Ransomlock.AK létrehoz egy fájlt a rendszeren, amelyet egy Microsoft frissítésnek álcáz. A regisztrációs adatbázist módosítja, hogy a Windows újraindításkor automatikusan betöltődjön.
A trójai nem korlátozza a Windows csökkentet módban történő elindítását, ezért könnyebben eltávolítható a rendszerről.
Leírás
1. A következő mappát hozza létre:
%UserProfile%/Application Data/Local Settings/Application Data/KB9162892
2. Az allábbi fájlt másolja a rendszerre:
%UserProfile%/Application Data/Local Settings/Application Data/KB9162892/KB9162892.exe
3. A következő értékeket hozzáadja a regisztrációs adatbázishoz:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
policiesExplorerRun”KB9162892″ = “%UserProfile%/Application Data
/Local Settings/Application Data/KB9162892/KB9162892.exe”
4. Előre meghatározott távoli kiszolgálókhoz csatlakozik.
5. Blokkolja az alkalmazások indítását és zárolja a képernyőt.
6. Pénzt követel a zárolás feloldásáért.
Megoldás
Tűzfal használata
Támadás típusa
System access (Rendszer hozzáférés)Hatás
Loss of availability (Elérhetőség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com