Worm : MSIL/Crilock.A
Crilock.A dapat sebagai pembaruan perangkat lunak atau aktivator untuk software berbayar seperti TeamViewer, Photoshop, ESET antivirus, dan Windows Office. Menyebar ke komputer melalui Removable Drive.
Ini mengenkripsi file dan meminta untuk membayar uang tebusan untuk mengambilnya. Meminta untuk membayar menggunakan Bitcoin dalam waktu 72 jam.
Antivirus : Microsoft Security Essentials, Avira, BitDefender.
Ancaman ini berada di system folder bernama msunet.exe
Ini menciptakan entri registry berikut sehingga secara otomatis berjalan setiap windows start :
Subkunci : HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Value : MSUpdate
data : <system folder> \ msunet.exe
Ini menyalin dirinya dalam semua removable disk dengan nama setup.exe. Hal ini mungkin juga menginfeksi file EXE.
Ancaman ini mengubah Autorun pada removable USB dan CD/DVD drive ke :
Subkunci : HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer
Value : NoDriveTypeAutorun
Data : 145
Ancaman berjalan di PC dan mengenkripsi jenis file berikut menggunakan kunci publik yang unik dengan RSA-4096. Ini kemudian meminta untuk membayar untuk menerima kunci pribadi dan dan mengambil file pengguna.
Ancaman terhubung ke server ini untuk menerima perintah dan mengirim perintah :
> strathmorej.byethost3.com
> strathmorej.coolpage.biz
Hal ini dapat menerima perintah-perintah ini :
1. Memperbarui sendiri
2. Menjalankan Denial of Service (DoS)
3. Menonaktifkan PC pengguna
Crilock.A dapat sebagai pembaruan perangkat lunak atau aktivator untuk software berbayar seperti TeamViewer, Photoshop, ESET antivirus, dan Windows Office. Menyebar ke komputer melalui Removable Drive.
Ini mengenkripsi file dan meminta untuk membayar uang tebusan untuk mengambilnya. Meminta untuk membayar menggunakan Bitcoin dalam waktu 72 jam.
Antivirus : Microsoft Security Essentials, Avira, BitDefender.
Ancaman ini berada di system folder bernama msunet.exe
Ini menciptakan entri registry berikut sehingga secara otomatis berjalan setiap windows start :
Subkunci : HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Value : MSUpdate
data : <system folder> \ msunet.exe
Ini menyalin dirinya dalam semua removable disk dengan nama setup.exe. Hal ini mungkin juga menginfeksi file EXE.
Ancaman ini mengubah Autorun pada removable USB dan CD/DVD drive ke :
Subkunci : HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer
Value : NoDriveTypeAutorun
Data : 145
Ancaman berjalan di PC dan mengenkripsi jenis file berikut menggunakan kunci publik yang unik dengan RSA-4096. Ini kemudian meminta untuk membayar untuk menerima kunci pribadi dan dan mengambil file pengguna.
Ancaman terhubung ke server ini untuk menerima perintah dan mengirim perintah :
> strathmorej.byethost3.com
> strathmorej.coolpage.biz
Hal ini dapat menerima perintah-perintah ini :
1. Memperbarui sendiri
2. Menjalankan Denial of Service (DoS)
3. Menonaktifkan PC pengguna
Tidak ada komentar:
Posting Komentar