Felhasználói fájlokra tör a CobraLocker zsarolóvírus
A CobraLocker.AA azon zsaroló programok közé sorolandó, amelyek fájlok titkosításával okoznak akár helyreállíthatatlan károkat. A kártevő meglehetősen sok módosítást végez a számítógépeken, mielőtt azokon elkezdi a pusztítást. Manipulálja a regisztrációs adatbázist, folyamatokat állít le, és új fájlokat hoz létre.
Amint az előkészítő tevékenységeivel végez, akkor feltérképezi a felhasználó mappáit, és az Asztal, a Képek, valamint a Letöltések könyvtárakban lévő állományokat kivétel nélkül titkosítja. Amint minden fájlt használhatatlanná tesz, rögtön megjelenít egy üzenetablakot, amiben közli a felhasználóval, hogy mi történt a számítógépen, és egyben előáll a követelésével. Ez pedig jelen esetben 300 dollár váltságdíj megfizetését jelenti Bitcoinban.
Természetesen ez esetben is igaz, hogy nem javasolt a csalók követeléseinek teljesítése.
Amikor a CobraLocker.AA elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%System%\LogonUI.exe
2. Lefuttatja az alábbi parancsokat:
"C:\Windows\System32\cmd.exe" /takeown /f C:\Windows\System32\Taskmgr.exe && icacls C:\Windows\System32\Taskmgr.exe /grant %username%:F && del C:\Windows\System32\Taskmgr.exe && takeown /f C:\Windows\System32\LogonUI.exe && icacls C:\Windows\System32\LogonUI.exe /grant %username%:F && del C:\Windows\System32\LogonUI.exe && exit
"C:\Windows\System32\shutdown.exe" /r /f /t 0
3. Letörli a következő fájlokat:
%Desktop%\desktop.ini
%User Profile%\Downloads\desktop.ini
%User Profile%\Pictures\desktop.ini
%User Profile%\Documents\desktop.ini
4. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools = 1
5. Módosítja a regisztrációs adatbázis alábbi bejegyzését:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Shell = empty
6. Leállítja a következő folyamatokat:
cmd
regedit
Processhacker
sdclt
powershell
7. Titkosítja az alábbi mappákban lévő fájlokat:
%Desktop%
%User Profile%\Downloads
%User Profile%\Pictures
8. Megjeleníti a zsaroló üzenetét.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
-
A Microsoft Edge legújabb verziója számos sebezhetőséget szüntet meg.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.
