Win32/Sorikrypt.A zsarolókártevő
Angol cím: 
Ransom:Win32/Sorikrypt.A
CERT-Hungary ID: 
CH-14102
Felfedezés dátuma: 
2017-06-16
Összefoglaló: 

A Win32/Sorikrypt.A (Windows Defender) egy ingyenes programmal létrehozott zsarolókártevő. A támadó teljesen testre tudja szabni a kártevőt, így többek között meghatározhatja a titkosítandó fájlok körét, típusát, a titkosított fájlok kiterjesztésének nevét, a zsaroló üzenetet és a fájlok feloldásához szükséges jelszót is.

Leírás: 

Amikor a kártevő egy új rendszert megfertőz, először lemásolja magát - egy véletlenszerű fájlnévvel ellátva - a %TEMP% könyvtárba, majd létrehozza az alábbi registry bejegyzést annak érdekében, hogy a továbbiakban automatikusan elinduljon:

  • In subkey: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    Sets value: "Alcmeter"
    With data: "%TEMP%\<malware file name>"

Ezen kívül további bejegyzéseket is létrehoz a registry-ben, például:

  • In subkey: HKEY_CLASSES_ROOT\.bs7912
    Sets value: "(Default)"
    With data: "QVHXQDQKOFLBYBV"
  • In subkey: HKEY_CLASSES_ROOT\QVHXQDQKOFLBYBV
    Sets value: "(Default)"
    With data: "CRYPTED!"
  • In subkey: HKEY_CLASSES_ROOT\QVHXQDQKOFLBYBV\DefaultIcon
    Sets value: "(Default)"
    With data: "<malware file name>,0"
  • In subkey: HKEY_CLASSES_ROOT\QVHXQDQKOFLBYBV\shell\open\command
    Sets value: "(Default)"
    With data: "<malware file name>"

A zsaroló kártevő a következő fájlokat titkosítja: „.txt”, „.html”, „.pdf” „.bmp”, „.pif”, „.jpg”, „.wav”, „.wma”, „.lnk”, majd a titkosított fájloknak a „.bs7912” kiterjesztést adja.

A fentieken túlmenően létrehozza a következő, felhasználónak szóló tájékoztató fájlt is:

  • HOW TO DECRYPT FILES.txt
Hivatkozások: 
Megoldás: 
Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se
Megoldás: 

Használjon offline biztonsági mentést és naprakész vírusirtó szoftvert!

Érintett verziók: 
Microsoft Windows
Érintett rendszerek
Hatás
Súlyosság
Szükséges hozzáférés
Támadás típusa