Válassza az Oldal lehetőséget

Vírushíradó – Windowst zárol a zsaroló Ransomlock trójai

Írta: | 2009. ápr 17. | | 0 |

Vírushíradó – Windowst zárol a zsaroló Ransomlock trójai

A Ransomlock trójai nagyon komoly bosszúságot, és nem kis károkat tud okozni azzal, hogy teljes mértékben zárolja a fertőzött számítógépeket.

A Ransomlock trójai — ellentétben nagyon sok rejtőzködő kártékony programmal — igencsak feltűnő műveleteket végez, ugyanis a fertőzött rendszereken teljes mértékben zárolja a Windowshoz való hozzáférést. A kártevő egy ablakot jelenít meg, amelyben — orosz nyelven — közli a felhasználóval, hogy egy SMS-ben el kell küldenie egy, a trójai által generált kódot, amelyre válaszként egy aktivációs kódot kap vissza. Amennyiben ezt a kódot megadja az ablakban elhelyezett beviteli mezőben, akkor újra használatba veheti a Windowst. A valóságban azonban semmi sem garantálja, hogy ez így is fog történni, főleg azért, mert a Symantec elemzése szerint az SMS-ben elküldendő kód teljesen véletlenszerűen kerül legenerálásra.

Vírushíradó - Windowst zárol a zsaroló Ransomlock trójai

Noha eddig is jelentek már meg zsaroló kártékony programok, azok elsősorban fájlok titkosításával próbáltak pénz kicsikarni a felhasználókból. Ezzel szemben a Ransomlock a teljes Windowshoz való hozzáférést igyekszik ellehetetleníteni. A Ransomlock készítői arról is gondoskodtak, hogy a kártékony programjuk a Windows csökkentett módban történő újraindításakor is be tudjon töltődni.

Amikor a Ransomlock trójai elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő állományt:
    %Temp%\don[véletlenszerű karakterek].tmp
  2. A regisztrációs adatbázisban módosítja az alábbi értéket:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
    Windows NT\CurrentVersion\Winlogon”Userinit” = “%System%\userinit.exe
    %Temp%\don[véletlenszerű karakterek].tmp”
  3. Megjelenít egy ablakot, amellyel elérhetetlenné teszi a Windows többi összetevőjét. Az ablakban megjelenik egy véletlenszerűen generált szám valamint egy SMS-küldéshez felhasználható szám is.  A trójai üzenete szerint csak akkor zárható be az ablak, ha a felhasználó megfelelő — SMS-ben kapott — aktivációs kódot ad meg.
  4. A trójai arról is gondoskodik, hogy a Windows csökkentett módban történő indításakor is be tudjon töltődni.

Mérték:

A szerzőről

Csingacsguk

Kapcsolódó hozzászólások

Ismét biztonságos a Firefox

Ismét biztonságos a Firefox

2013-03-11

Leáldozóban a Google Chrome?

Leáldozóban a Google Chrome?

2013-03-13

Kritikus veszélyességű hiba a PowerPointban

Kritikus veszélyességű hiba a PowerPointban

2009-04-06

Magyar siker a vírusírtók piacán

Magyar siker a vírusírtók piacán

2012-01-19

banner

BuyBestGear

Hirdetés

ranvee

Ranvee háztartási gépek