Win32/Sorikrypt.A zsarolókártevő

CH azonosító

CH-14102

Angol cím

Ransom:Win32/Sorikrypt.A

Felfedezés dátuma

2017.06.15.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Win32/Sorikrypt.A (Windows Defender) egy ingyenes programmal létrehozott zsarolókártevő. A támadó teljesen testre tudja szabni a kártevőt, így többek között meghatározhatja a titkosítandó fájlok körét, típusát, a titkosított fájlok kiterjesztésének nevét, a zsaroló üzenetet és a fájlok feloldásához szükséges jelszót is.

Leírás

Amikor a kártevő egy új rendszert megfertőz, először lemásolja magát – egy véletlenszerű fájlnévvel ellátva – a %TEMP% könyvtárba, majd létrehozza az alábbi registry bejegyzést annak érdekében, hogy a továbbiakban automatikusan elinduljon:

  • In subkey: HKLMSoftwareMicrosoftWindowsCurrentVersionRun
    Sets value: “Alcmeter”
    With data: “%TEMP%<malware file name>”

Ezen kívül további bejegyzéseket is létrehoz a registry-ben, például:

  • In subkey: HKEY_CLASSES_ROOT.bs7912
    Sets value: “(Default)”
    With data: “QVHXQDQKOFLBYBV”
  • In subkey: HKEY_CLASSES_ROOTQVHXQDQKOFLBYBV
    Sets value: “(Default)”
    With data: “CRYPTED!”
  • In subkey: HKEY_CLASSES_ROOTQVHXQDQKOFLBYBVDefaultIcon
    Sets value: “(Default)”
    With data: “<malware file name>,0”
  • In subkey: HKEY_CLASSES_ROOTQVHXQDQKOFLBYBVshellopencommand
    Sets value: “(Default)”
    With data: “<malware file name>”

A zsaroló kártevő a következő fájlokat titkosítja: „.txt”, „.html”, „.pdf” „.bmp”, „.pif”, „.jpg”, „.wav”, „.wma”, „.lnk”, majd a titkosított fájloknak a „.bs7912” kiterjesztést adja.

A fentieken túlmenően létrehozza a következő, felhasználónak szóló tájékoztató fájlt is:

  • HOW TO DECRYPT FILES.txt

Megoldás

Használjon offline biztonsági mentést és naprakész vírusirtó szoftvert!

Hivatkozások

Egyéb referencia: www.microsoft.com