Ransomlock trójai

 E-mail
IWIWSatartlapGoogle bookmarkTwitterLinkter.huFacebookBlogter.hu
Vírus Hírek

Nem áll le a zsarolással a Ransomlock trójai

A Ransomlock trójai legújabb variánsa egy orosz nyelvű üzenetet jelenít meg, és addig blokkolja a számítógépet, amíg a felhasználó egy a csalóktól megvásárolható kódot meg nem ad.

A Ransomlock.I trójai - hasonlóan az elődeihez - a felhasználók megzsarolásával igyekszik pénzhez juttatni a terjesztőit. A korábbi variánsai által is alkalmazott módszereket használja annak érdekében, hogy a fertőzött számítógépek tulajdonosait rávegye a fizetésre. Mindez azt jelenti, hogy egy teljes képernyős ablakot jelent meg, amelyben egy orosz nyelvű üzenet révén közli a felhasználóval azt, hogy amíg meg nem ad  egy érvényes feloldókódot, addig nem fogja tudni használni a PC-jét.

 

Az Isidor Biztonsági Központ jelentése kitér arra, hogy a Ransomlock.I számos Windows-os rendszerfájlt felülír. Ezzel többek között eléri azt, hogy a Feladatkezelőt se lehessen igénybe venni a trójai megbénításához. Emellett leállítja a Windows egyik rendszerfolyamatát, majd letiltja az Alt + Tab és az Alt + F4 billentyűkombinációkat.

Az ilyen jellegű trójai programok elleni védekezés legjobb eszközének a naprakész víruskeresők számítanak. Ha pedig mégis megtörténik a fertőzés, akkor sem célszerű követni a vírusírók utasításait, ugyanis korántsem biztos, hogy fizetés után a számítógép valóban könnyedén helyreállítható lesz. Ez esetben sokkal inkább megfelelően elvégzett vírusirtásra van szükség.

Amikor a Ransomlock.I trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%SystemDrive%/Documents and Settings/All Users/Application Data/[véletlenszerű karakterek].exe
%System%/[véletlenszerű karakterek].exe

2. Felülírja az alábbi fájlokat:
%System%/taskmgr.exe
%System%/userinit.exe
%System%/dllcache/taskmgr.exe
%System%/dllcache/userinit.exe

3. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzést:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Winlogon/"Shell" = "%SystemDrive%/Documents and Settings/All Users/Application Data/[véletlenszerű karakterek].exe"

4. A regisztrációs adatbázisban módosítja az alábbi értéket:
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/"CleanShutdown" = "0"

5. Leállítja a következő rendszerfolyamatot:
explorer.exe

6. Letiltja az Alt + Tab és az Alt + F4 billentyűkombinációkat.

7. Megjelenít egy teljes képernyős képet, amelyen orosz nyelvű üzenet olvasható.

8. Egy jelszó (kód) megadására várakozik.

 

A hír megjelenését a Biztonságportál támogatta.


< Előző   Következő >