Nem kellett nagy tudomány a Sorikrypt zsaroló programhoz

A Sorikrypt zsaroló program elsősorban képeket és szöveges állományokat titkosít, majd próbál pénzt kicsalni a felhasználóktól.
 

A Sorikrypt zsaroló program a szokásosnál is több formában terjedhet az interneten. Ennek oka, hogy egy olyan segédeszközzel készült, amely kifejezetten ransomware kódok generálására alkalmas. Ezzel különösebb szakmai ismeretek nélkül lehet testre szabható károkozókat készíteni. Az ezt használó támadók egyszerűen beállíthatják, hogy milyen típusú fájlokat akarnak célkeresztbe állítani a fertőzött rendszereken, és milyen üzeneteket kell megjelenítenie a kártevőnek a fájlok tönkretételét követően.
 
A Sorikrypt jelenlegi, "A" betűjelű variánsa még nem rendelkezik hosszú kiterjesztéslistával, azonban ettől még komoly pusztítást képes okozni. Többnyire képeket és szöveges fájlokat szemel ki magának, de például az audió állományokat sem kíméli.
 
A kártékony program által okozott károk onnan ismerhetők fel, hogy a kompromittált állományok neve mögött a bs7912 kiterjesztés jelenik meg.
 
Amikor a Sorikrypt.A zsaroló program elindul, akkor az alábbi műveleteket hajtja végre:
 
1. Bemásolja a saját állományait a Temp mappába.
 
2. A regisztrációs adatbázishoz hozzáfűzi a következő értékeket:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Alcmeter="%TEMP%\[a zsaroló program fájlneve]"
HKEY_CLASSES_ROOT\.bs7912\(Default)="QVHXQDQKOFLBYBV"
HKEY_CLASSES_ROOT\QVHXQDQKOFLBYBV\(Default)="CRYPTED!"
HKEY_CLASSES_ROOT\QVHXQDQKOFLBYBV\DefaultIcon\(Default)="[a zsaroló program fájlneve],0"
HKEY_CLASSES_ROOT\QVHXQDQKOFLBYBV\shell\open\command\(Default)="[a zsaroló program fájlneve]"
 
3. Felkutatja az alábbi kiterjesztésekkel rendelkező állományokat, amelyeket rögtön letitkosít:
.txt
.html
.pdf
.bmp
.pif
.jpg
.wav
.wma
.lnk
 
4. A kompromittált állományok nevéhez hozzáfűzi a .bs7912 kiterjesztést.
 
5. Létrehoz egy HOW TO DECRYPT FILES.txt nevű fájlt.
 
6. Megjelenít egy üzenetablakot a követeléseivel.