Összefoglaló
A Zuresq.A azon zsaroló programok közé tartozik, amelyek fájlok titkosításával, használhatatlanná tételével okoznak komoly károkat a fertőzött számítógépeken. A trójai a saját fájljait a C meghajtó gyökérkönyvtárába létrehozott zerolocker mappába másolja be, majd egy titkosító kulcs generálását követően rögtön nekilát az állományok lekódolásának. Eközben a titkosításhoz használt kulcsot feltölti egy távoli kiszolgálóra.
A Zuresq.A néhány rendszerkönyvtárban található állomány kivételével minden fájlt titkosít. Annak érdekében, hogy a számítógép működőképességét biztosítani tudja a Windows és az alkalmazások fájljait megkíméli. Természetesen a saját állományait is kihagyja a szórásból.
A titkosítást követően a trójai egy üzenetet jelenít meg, amelyben közli, hogy a helyreállításhoz szükséges információkhoz (kulcsokhoz) 300-1000 dollár értékű bitcoin révén lehet hozzájutni.
Leírás
1. Létrehoz a C meghajtó gyökérkönyvtárába egy “zerolocker” nevű mappát.
2. A fenti könyvtárba bemásol egy zerorescue.exe nevű állományt.
3. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunFileRescue=”C:zerolockerzerorescue.exe”
4. Generál egy titkosító kulcsot, amit feltölt egy távoli kiszolgálóra.
5. A titkosító kulcsával fájlokat kezd lekódolni (AES-algoritmusokkal). A titkosítást az alábbi könyvtárakban található állományok kivételével minden fájlon elvégzi:
Desktop
Program Files
Windows
Zerolocker
6. Egy parancsikont hoz létre az Asztalon.
7. Közli a felhasználóval, hogy miként állíthatja helyre a károkat.
Megoldás
Telepítsen vírusvédelmi programot és tűzfalat, illetőleg rendszeresen frissítse azokat.
Támadás típusa
Security bypass (Biztonsági szabályok megkerülése)System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.microsoft.com