A napokban egy új zsaroló vírus, azaz Ransomware, a CryptoJoker került elő, vélhetően orosz kéz alól. Ez a vírus AES-256 titkosítás alá teszi egyes fájljainkat és ezt követően megpróbál tőlünk váltságdíjat kérni. A zsaroló eszközt a MalwareHunterTeam fedezte fel. Állításuk szerint egyenlőre elég minimális körben elterjedt vírusról beszélünk, viszont annyira működőképesnek tűnik, hogy nem kizárt hamarosan nagyobb elterjedtségről beszélhetünk.
A vírus PDF-nek álcázza magát, mely azonban egy telepítőfájl. Vélhetően elektronikus levelezésen keresztül terjedhet.
Mit művel futtatást követően?
A telepítő a háttérben végzi a munkálatokat, nem fog nekünk megnyílni, legalábbis nem az amire számítottunk. A %TEMP% és %APPDATA% mappákban létrehoz számos fájlt, melyet azután megpróbál lefuttatni.
Ha ezek lefutnak, akkor a CryptoJoker titkosítja a legtöbb merevlemezen tárolt adatunkat, illetve képes még hálózati meghajtókon is keresni és titkosítani. A titkosított fájlok .crjoker kiterjesztéssel lesznek ezt követően ellátva. Ez nem minden, hisz letiltja recovery szolgáltatást is.
A következő kiterjesztéssel rendelkező fájlok lehetnek veszélyben:
.txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .java, .jpeg, .pptm, .pptx, .xlsb, .xlsm, .db, .docm, .sql, .pdf
Amíg a vírus dolgozik a titkosításon és a keresésen, addig gépi információkat küld a következő szerverre:
server6.thcservers.com
Az adatok a következők:
- Dátum
- Hosztnév
- Felhasználónév
- Számítógépnév
Mindenkinek ajánljuk, hogy ha számunkra ismeretlen elektronikus levél jön és csatolva van valamiféle állomány, semmiképp ne nyissuk meg!
Hozzászólások
-