Bitdefender zatrzymuje ransomware ZCrypt

Próbka analizowana przez naszych badaczy ma możliwości takie jak zagrożenia typu robak – może rozprzestrzeniać się za pośrednictwem plików autorun.inf na dyskach USB. Gdy zainfekowane urządzenie USB zostanie podłączony do systemu, ZCrypt automatycznie uruchamia plik o nazwie invoice.exe, który po otwarciu, infekuje system przy użyciu ransomware.

ZCrypt najpierw zaraża pliki, a następnie szyfruje je, aby ograniczyć zdolność ofiary do używania narzędzi do odzyskiwania dysku. Atakowane są pliki użytkownika z następującymi rozszerzeniami:

..mp4 .avi .mkv .wmv .swf .pdf .sql .txt .jpeg .jpg .png .bmp .psd .doc .docx .rtf .xls .xlsx .odt .ppt .pptx .ai .xml .c .cpp .asm .js .php .cs .aspx .html .conf .sln .mdb  asp .3fr .accdb  .arw .bay .cdr .cer .cr2 .crt .crw .dbf .dcr .der  .dng .dwg .dxf .dxg  .eps  .erf .indd .kdc .mdf .mef .mrw .nef .nrw .odb .odp .ods .orf .p12 .p7b .p7c .pdd .pef  .pem .pfx .pst .ptx .r3d .raf .raw .rw2 .rwl .srf .srw .wb2 .wpd  .jnt .pub .trc .gz .tar .jsp .pl .py .rb .mpeg .msg .log .vob .max .3ds .3dm .db .cgi .jar .class  .java .bak .pdb .apk .sav .cbr .pkg .tar. gz. fla. .h .sh .vb .vcxproj .XCODEPROJ .eml .emlx .mbx .vcf

Oryginalny plik zostanie usunięty , a zaszyfrowane pliki będą miały rozszerzenie .zcrypt. Notatka o okupie zostanie utworzona z następującą nazwą Jak odszyfrować pliki.html

Aby zapewnić trwałość, malware utworzy następujący klucz rejestru:

HKCUSoftwareMicrosoftWindowsCurrentVersionRunzcrypt, który będzie wskazywać na siebie, a także skrót o nazwie zcrypt.lnk w folderze startowym.

Co ciekawe, ZCrypt wykorzystuje starą, ale skuteczna technikę. Wprowadzony z powrotem do ery Windows XP w celu ułatwienia instalacji oprogramowania z nośników CD-ROM dla nietechnicznych użytkowników komputerów, funkcja Autorun szybko stała się wektorem wyboru infekcji dla cyberprzestępców. Przez wiele lat, malware oparty o Autorun był na szczycie światowych e-zagrożeń, z osławionymi przedstawicielami takimi jak Trojan.AutorunInf, robak Conficker (Win32.Worm.Downadup) lub Worm.Autorun.VHD.

Bitdefender ma rozwiązanie – USB Immunizer wyłącza zagrożenia związane z Autorun zanim uzyskają dostęp do komputera. Raz zainstalowany, nieustannie poszukuje nowo podłączonych urządzeń USB i uodparnia je na bieżąco. Jeśli przypadkowo podłączysz zainfekowaną pamięć USB, która nie została zaszczepiona, komputer nie będzie automatycznie wykonać kawałka złośliwego oprogramowania znajdującego się na urządzeniu pamięci masowej USB.

Przeczytaj więcej i pobierz USB Immunizer tutaj

Źródło: https://labs.bitdefender.com/2016/06/bitdefender-stops-zcrypt-worm-like-ransomware/

***

Bitdefender® to twórca jednej z najszybciej i najefektywniej rozwijającej się linii cenionego na świecie oprogramowania bezpieczeństwa. Od 2001 roku Bitdefender jest pionierem branży, opracowującym i wdrażającym nagradzane technologie bezpieczeństwa. Każdego dnia Bitdefender chroni cyfrowe doświadczenia dziesiątek milionów użytkowników domowych i korporacyjnych na całym świecie. Rozwiązania Bitdefender rozpowszechniane są poprzez globalną sieć partnerów i dystrybutorów z wielu krajów.

Technologia antywirusowa Bitdefendera znalazła się na szczycie wiodących w branży testów AV-Test i AV-Comparatives. Więcej informacji na temat Bitdefendera i jego produktów można znaleźć na stronach internetowych poświęconych rozwiązaniom bezpieczeństwa. Dodatkowo, na stronie www.hotforsecurity.com Bitdefender przedstawia kulisy i najbardziej aktualne informacje dotyczące zagrożeń bezpieczeństwa, pozwalając użytkownikom śledzić jego codzienną walkę ze złośliwym oprogramowaniem.

MarkenSystemyAntywirusowe istnieje od 1999 roku i aktywnie działa w branży bezpieczeństwa IT na terenie całej Polski. Firma zajmuje się dystrybucją oraz wdrażaniem produktów związanych z najnowszymi technologiami w zakresie bezpieczeństwa i ochrony danych w sieciach komputerowych, zwłaszcza oprogramowania antywirusowego. W swojej ofercie posiada rozwiązania, które otrzymały pozytywne opinie i certyfikaty w niezależnych testach prowadzonych przez laboratoria na całym świecie.