Próbka analizowana przez naszych badaczy ma możliwości takie jak zagrożenia typu robak – może rozprzestrzeniać się za pośrednictwem plików autorun.inf na dyskach USB. Gdy zainfekowane urządzenie USB zostanie podłączony do systemu, ZCrypt automatycznie uruchamia plik o nazwie invoice.exe, który po otwarciu, infekuje system przy użyciu ransomware.

Ransomware ZCrypt najpierw zaraża pliki, a następnie szyfruje je, aby ograniczyć zdolność ofiary do używania narzędzi do odzyskiwania dysku. Atakowane są pliki użytkownika z następującymi rozszerzeniami:

..mp4 .avi .mkv .wmv .swf .pdf .sql .txt .jpeg .jpg .png .bmp .psd .doc .docx .rtf .xls .xlsx .odt .ppt .pptx .ai .xml .c .cpp .asm .js .php .cs .aspx .html .conf .sln .mdb asp .3fr .accdb  .arw .bay .cdr .cer .cr2 .crt .crw .dbf .dcr .der  .dng .dwg .dxf .dxg  .eps  .erf .indd .kdc .mdf .mef .mrw .nef .nrw .odb .odp .ods .orf .p12 .p7b .p7c .pdd .pef  .pem .pfx .pst .ptx .r3d .raf .raw .rw2 .rwl .srf .srw .wb2 .wpd  .jnt .pub .trc .gz .tar .jsp .pl .py .rb .mpeg .msg .log .vob .max .3ds .3dm .db .cgi .jar .class  .java .bak .pdb .apk .sav .cbr .pkg .tar. gz. fla. .h .sh .vb .vcxproj .XCODEPROJ .eml .emlx .mbx .vcf

 

Oryginalny plik zostanie usunięty , a zaszyfrowane pliki będą miały rozszerzenie .zcrypt. Notatka o okupie zostanie utworzona z następującą nazwą “Jak odszyfrować pliki.html”

Aby zapewnić trwałość, malware utworzy następujący klucz rejestru:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\zcrypt, który będzie wskazywać na siebie, a także skrót o nazwie “zcrypt.lnk” w folderze startowym.

Co ciekawe, ZCrypt wykorzystuje starą, ale skuteczna technikę. Wprowadzony z powrotem do ery Windows XP w celu ułatwienia instalacji oprogramowania z nośników CD-ROM dla nietechnicznych użytkowników komputerów, funkcja Autorun szybko stała się wektorem wyboru infekcji dla cyberprzestępców. Przez wiele lat, malware oparty o  Autorun  był na szczycie światowych e-zagrożeń, z osławionymi przedstawicielami takimi jak Trojan.AutorunInf, robak Conficker (Win32.Worm.Downadup) lub Worm.Autorun.VHD.

Bitdefender ma rozwiązanie – USB Immunizer wyłącza zagrożenia związane z Autorun zanim uzyskają dostęp do komputera. Raz zainstalowany, nieustannie poszukuje nowo podłączonych urządzeń USB i uodparnia je na bieżąco. Jeśli przypadkowo podłączysz zainfekowaną pamięć USB, która nie została zaszczepiona, komputer nie będzie automatycznie wykonać kawałka złośliwego oprogramowania znajdujego się na urządzeniu pamięci masowej USB.

Przeczytaj więcej i pobierz USB Immunizer tutaj

Źródło: https://labs.bitdefender.com/2016/06/bitdefender-stops-zcrypt-worm-like-ransomware/

Jak poprawnie dbać o bezpieczeństwo danych osobowych w firmie – Bitdefender GravityZone

 

Pliki Microsoft Publisher mogą roznosi wirusy

Ransomware co to jest i jak się przed tym chronić?

 

0 0 votes
Article Rating

Subscribe
Powiadom o
guest
0 komentarzy
Inline Feedbacks
View all comments