Ransomware-SAMAS
Angol cím: 
Ransomware-SAMAS
CERT-Hungary ID: 
CH-13886
Felfedezés dátuma: 
2017-02-16
Összefoglaló: 

Az Intel McAfee Labs elemzése során egy SAMAS nevű zsaroló kártevőt azonosítottak. A SAMAS a Windows rendszereket célzó káros kód, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás: 

A támadók azon túl, hogy bejuttatják a káros kódot a rendszerbe, igyekeznek különböző scriptekkel feltérképezni az adott hálózatot, amely által újabb fertőzhető végpontokat keresnek. További scripteket alkalmaznak a biztonsági mentések keresésére és azok törlésére, ezáltal további károkat okozhatnak, ami különösen veszélyes lehet a cégekre nézve.

Az alábbi kiterjesztésű fájlokat titkosítja a SAMAS:

.jin, .xls, .xlsx, .pdf, .doc, .docx, .ppt, .pptx, .txt, .dwg, .bak, .bkf, .pst,

.dbx, .zip, .rar, .mdb, .asp, .aspx, .html, .htm, .dbf, .3dm, .3ds, .3fr, .jar,

.3g2, .xml, .png, .tif, .3gp, .java, .jpe, .jpeg, .jpg, .jsp, .php, .3pr, .7z, .ab4,

.accdb, .accde, .accdr, .accdt, .ach, .kbx, .acr, .act, .adb, .ads, .agdl, .ai,

.ait, .al, .apj, .arw, .asf, .asm, .asx, .avi, .awg, .back, .backup, .backupdb,

.pbl, .bank, .bay, .bdb, .bgt, .bik, .bkp, .blend, .bpw, .c, .cdf, .cdr, .cdr3,

.cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls,

.cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .phtml, .php5, .cs, .csh, .csl, .tib,

.csv, .dac, .db, .db3, .dbjournal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der,

.des, .design, .dgc, .djvu, .dng, .dot, .docm, .dotm, .dotx, .drf, .drw, .dtd, .dxb,

.dxf, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fmb, .fhd,

.fla, .flac, .flv, .fpx, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp,ibank, .ibd, .ibz,

.idx, .iif, .iiq, .incpas, .indd, .kc2, .kdbx, .kdc, .key, .kpdx, .lua, .m, .m4v,

.max, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw,

.msg, .myd, .nd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg,

.nsh, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods,

.odt, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab,

.pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pef, .pem, .pfx, .pl, .plc, .pot,

.potm, .potx, .ppam, .pps, .ppsm, .ppsx, .pptm, .prf, .ps, .psafe3, .psd, .pspimage,

.ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rat, .raw, .rdb,

.rm, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdf, .sldm, .sldx,

.sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7,

.st8, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxi, .sxm, .sxw,

.tex, .tga, .thm, .tlg, .vob, .war, .wallet, .wav, .wb2, .wmv, .wpd, .wps, .x11,

.x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xlsb, .xlsm, .xlt, .xltm, .xltx, .xlw,

.ycbcra, .yuv, .vb,.asmx,.config

Az alábbi formátumú biztonsági mentéseket próbálja megtalálni és törölni:

.abk, .ac, .back, .backup, .backupdb, .bak, .bb, .bk, .bkc, .bke, .bkf, .bkn, .bkp,

.bpp, .bup, .cvt, .dbk, .dtb, .fb, .fbw, .fkc, .jou, .mbk, .old, .rpb, .sav, .sbk,

.sik, .spf, .spi, .swp, .tbk, .tib, .tjl, .umb, .vbk, .vib, .vmdk, .vrb, .wbk

További végfelhasználói ajánlások:

 

  • Ne nyisson meg OpenOffice dokumentum fájlmellékletet a feladó külön kérése nélkül!
  • Tiltsa a makrókat a Microsoft Office alkalmazásokban!
  • A végfelhasználók gyakran és több helyre készítsenek biztonsági másolatokat!
  • Jelentse a gyanús e-maileket a szervezet illetékes munkatársai felé!
  • A központilag készült fájlszerver másolata legyen elérhetetlen a kliensgépekről!

 

 

 

Hivatkozások: 
Érintett verziók: 
Microsoft Windows