Mindent letarol a Sorebrect zsaroló program

A Sorebrect zsaroló program nem igazán válogatós, szinte minden állományt tönkretesz a számítógépeken.
 

A zsaroló program jelentős része olyan módon működik, hogy egy kiterjesztéslista alapján fájlokat titkosít, majd váltságdíjat követel a helyreállításhoz szükséges információkért. Ez a kiterjesztéslista jól ismert, gyakran használt fájltípusokra utaló bejegyzéseket tartalmaz.
 
A Sorebrect program azonban nem rendelkezik ilyen listával. Ehelyett a Windows és az Asztal kivételével minden könyvtárban rombol. Mindössze az exe, a dll, az lnk és a sys kiterjesztésű fájlokat hagyja érintetlenül, ezzel adva némi esélyt az operációs rendszernek arra, hogy annyira működőképes maradjon, hogy a felhasználó a fizetést meg tudja ejteni. A károkozó pusztítása onnan ismerhető fel, hogy a rendszeren rengeteg aes_ni_0day kiterjesztésű fájl jelenik meg.
 
A kártékony program nagyon fontos jellemzője, hogy a fertőzés során biztonsági szoftverekhez, adatbáziskiszolgálókhoz, levelezőszoftverekhez és webszervereken futó alkalmazásokhoz tartozó folyamatokat, szolgáltatásokat is leállít. Ezzel próbálja elérni a zárolt fájlok feloldását. Ilyen módon veszélyt jelent egyebek mellett a Microsoft SQL Server, a Firebird és az Exchange Serverhez tartozó adatállományokra is.
 
A biztonsági szakemberek ez esetben sem javasolják a váltságdíj kifizetését.
 
Amikor a Sorebrect zsaroló program elindul, akkor az alábbi műveleteket hajtja végre:
 
1. Lekérdezi a számítógép IP-címét.
 
2. Létrehoz egy új, svchost.exe nevű folyamatot.
 
3. A regisztrációs adatbázist kiegészíti a következő értékekkel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"LegalNoticeCaption" = "Microsoft Windows Security Center"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"LegalNoticeText" = "..."
 
4. Tor hálózaton keresztül csatlakozik egy távoli kiszolgálóhoz.
 
5. Törli a következő mappát:
%SystemDrive%\$RECYCLE.BIN
 
6. Biztonsági szoftverekhez, adatbázisokhoz tartozó szolgáltatásokat, folyamatokat állít le.
 
7. Fájlokat titkosít az alábbi mappákban lévő állományok kivételével:
%Windir%
\Documents and Settings\All Users\Desktop
 
Ezek mellett az .exe, a. dll, az .lnk és a .sys kiterjesztésű fájlokat is érintetlenül hagyja.
 
8. Minden kmompromittált állomány nevéhez hozzáfűzi az .aes_ni_0day kiterjesztést.
 
8. Minden olyan mappába, amelyben legalább egy fájlt titkosított, létrehoz egy !!! READ THIS - IMPORTANT !!!.txt nevű fájlt.