Analisado por: Jennifer Gumban   
 Plataforma:

Windows

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribui??o:
 infec??o relatada:
 Exposi??o das informa??es:
Baixo
Medium
Alto
°ä°ù¨ª³Ù¾±³¦´Ç

  • Tipo de grayware:
    Others

  • Destrutivo:
    N?o

  • Criptografado:
    Sim

  • In the Wild:
    Sim

  Vis?o geral

Canal de infec??o: Fallen gelassen von anderer Malware, Aus dem Internet heruntergeladen

Sammelt bestimmte Informationen auf dem betroffenen Computer.

  Detalhes t¨¦cnicos

Tipo de compacta??o: 147,456 bytes
Tipo de arquivo: EXE
Residente na mem¨®ria: Sim
Data de recebimento das amostras iniciais: 23 mar?o 2016
Carga ¨²til: Encrypts files, Steals information

Installation

Schleust folgende Komponentendateien ein:

  • %Desktop%\DECRYPTION_HOWTO.Notepad - ransomnote.
  • %Desktop%\surprise.bat - removes Shadow Volume Copies when executed.
  • %Desktop%\Encrypted_Files.Notepad - list of encrypted files

(Hinweis: %Desktop% ist der Ordner 'Desktop' f¨¹r den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)

Hinterl?sst Textdateien, um L?segeld durch folgenden Inhalt zu erpressen:

  • What happened to your files ?
    All of your files were protected by a strong encryption.
    There is no way to decrypt your files without the key.
    If your files notimportant for you just reinstall your system.
    If your files is important just email us to discuss the price and how to decrypt your files.
    You can email us tonowayout@{BLOCKED}mail.com and nowayout@{BLOCKED}t.org
    Write your Email to both email addresses PLS
    We accept just BITCOIN if you dont know what it is just google it.
    We will give instructions where and how you buy bitcoin in your country.
    Price depends on how important your files and network is.it could be 0.5 bitcoin to 25 bitcoin.
    You can send us a 1 encrypted file for decryption.
    Feel free to email us with your country and computer name and username of the infected system.

Andere System?nderungen

?ndert die folgenden Dateien:

  • It renames encrypted files by adding ".surprise"

Datendiebstahl

Sammelt die folgenden Informationen auf dem betroffenen Computer:

  • Machine Name
  • User Name

Entwendete Daten

Sendet die gesammelten Daten ¨¹ber HTTP-POST an den folgenden URL:

  • http://{BLOCKED}udio.duckdns.org/pull.php

Andere Details

Verschl¨¹sselt Dateien mit den folgenden Erweiterungen:

  • .asf
  • .pdf
  • .xls
  • .docx
  • .xlsx
  • .mp3
  • .waw
  • .jpg
  • .jpeg
  • .txt
  • .rtf
  • .doc
  • .rar
  • .zip
  • .psd
  • .tif
  • .wma
  • .gif
  • .bmp
  • .ppt
  • .pptx
  • .docm
  • .xlsm
  • .pps
  • .ppsx
  • .ppd
  • .eps
  • .png
  • .ace
  • .djvu
  • .tar
  • .cdr
  • .max
  • .wmv
  • .avi
  • .wav
  • .mp4
  • .pdd
  • .php
  • .aac
  • .ac3
  • .amf
  • .amr
  • .dwg
  • .dxf
  • .accdb
  • .mod
  • .tax2013
  • .tax2014
  • .oga
  • .ogg
  • .pbf
  • .ra
  • .raw
  • .saf
  • .val
  • .wave
  • .wow
  • .wpk
  • .3g2
  • .3gp
  • .3gp2
  • .3mm
  • .amx
  • .avs
  • .bik
  • .dir
  • .divx
  • .dvx
  • .evo
  • .flv
  • .qtq
  • .tch
  • .rts
  • .rum
  • .rv
  • .scn
  • .srt
  • .stx
  • .svi
  • .swf
  • .trp
  • .vdo
  • .wm
  • .wmd
  • .wmmp
  • .wmx
  • .wvx
  • .xvid
  • .3d
  • .3d4
  • .3df8
  • .pbs
  • .adi
  • .ais
  • .amu
  • .arr
  • .bmc
  • .bmf
  • .cag
  • .cam
  • .dng
  • .ink
  • .jif
  • .jiff
  • .jpc
  • .jpf
  • .jpw
  • .mag
  • .mic
  • .mip
  • .msp
  • .nav
  • .ncd
  • .odc
  • .odi
  • .opf
  • .qif
  • .xwd
  • .abw
  • .act
  • .adt
  • .aim
  • .ans
  • .asc
  • .ase
  • .bdp
  • .bdr
  • .bib
  • .boc
  • .crd
  • .diz
  • .dot
  • .dotm
  • .dotx
  • .dvi
  • .dxe
  • .mlx
  • .err
  • .euc
  • .faq
  • .fdr
  • .fds
  • .gthr
  • .idx
  • .kwd
  • .lp2
  • .ltr
  • .man
  • .mbox
  • .msg
  • .nfo
  • .now
  • .odm
  • .oft
  • .pwi
  • .rng
  • .rtx
  • .run
  • .ssa
  • .text
  • .unx
  • .wbk
  • .wsh
  • .7z
  • .arc
  • .ari
  • .arj
  • .car
  • .cbr
  • .cbz
  • .gz
  • .gzig
  • .jgz
  • .pak
  • .pcv
  • .puz
  • .rev
  • .sdn
  • .sen
  • .sfs
  • .sfx
  • .sh
  • .shar
  • .shr
  • .sqx
  • .tbz2
  • .tg
  • .tlz
  • .vsi
  • .wad
  • .war
  • .xpi
  • .z02
  • .z04
  • .zap
  • .zipx
  • .zoo
  • .ipa
  • .isu
  • .jar
  • .js
  • .udf
  • .adr
  • .ap
  • .aro
  • .asa
  • .ascx
  • .ashx
  • .asmx
  • .asp
  • .indd
  • .asr
  • .qbb
  • .bml
  • .cer
  • .cms
  • .crt
  • .dap
  • .htm
  • .moz
  • .svr
  • .url
  • .wdgt
  • .abk
  • .bic
  • .big
  • .blp
  • .bsp
  • .cgf
  • .chk
  • .col
  • .cty
  • .dem
  • .elf
  • .ff
  • .gam
  • .grf
  • .h3m
  • .h4r
  • .iwd
  • .ldb
  • .lgp
  • .lvl
  • .map
  • .md3
  • .mdl
  • .nds
  • .pbp
  • .ppf
  • .pwf
  • .pxp
  • .sad
  • .sav
  • .scm
  • .scx
  • .sdt
  • .spr
  • .sud
  • .uax
  • .umx
  • .unr
  • .uop
  • .usa
  • .usx
  • .ut2
  • .ut3
  • .utc
  • .utx
  • .uvx
  • .uxx
  • .vmf
  • .vtf
  • .w3g
  • .w3x
  • .wtd
  • .wtf
  • .ccd
  • .cd
  • .cso
  • .disk
  • .dmg
  • .dvd
  • .fcd
  • .flp
  • .img
  • .isz
  • .mdf
  • .mds
  • .nrg
  • .nri
  • .vcd
  • .vhd
  • .snp
  • .bkf
  • .ade
  • .adpb
  • .dic
  • .cch
  • .ctt
  • .dal
  • .ddc
  • .ddcx
  • .dex
  • .dif
  • .dii
  • .itdb
  • .itl
  • .kmz
  • .lcd
  • .lcf
  • .mbx
  • .mdn
  • .odf
  • .odp
  • .ods
  • .pab
  • .pkb
  • .pkh
  • .pot
  • .potx
  • .pptm
  • .psa
  • .qdf
  • .qel
  • .rgn
  • .rrt
  • .rsw
  • .rte
  • .sdb
  • .sdc
  • .sds
  • .sql
  • .stt
  • .tcx
  • .thmx
  • .txd
  • .txf
  • .upoi
  • .vmt
  • .wks
  • .wmdb
  • .xl
  • .xlc
  • .xlr
  • .xlsb
  • .xltx
  • .ltm
  • .xlwx
  • .mcd
  • .cap
  • .cc
  • .cod
  • .cp
  • .cpp
  • .cs
  • .csi
  • .dcp
  • .dcu
  • .dev
  • .dob
  • .dox
  • .dpk
  • .dpl
  • .dpr
  • .dsk
  • .dsp
  • .eql
  • .ex
  • .f90
  • .fla
  • .for
  • .fpp
  • .jav
  • .java
  • .lbi
  • .owl
  • .pl
  • .plc
  • .pli
  • .pm
  • .res
  • .rsrc
  • .so
  • .swd
  • .tpu
  • .tpx
  • .tu
  • .tur
  • .vc
  • .yab
  • .aip
  • .amxx
  • .ape
  • .api
  • .mxp
  • .oxt
  • .qpx
  • .qtr
  • .xla
  • .xlam
  • .xll
  • .xlv
  • .xpt
  • .cfg
  • .cwf
  • .dbb
  • .slt
  • .bp2
  • .bp3
  • .bpl
  • .clr
  • .dbx
  • .jc
  • .potm
  • .ppsm
  • .prc
  • .prt
  • .shw
  • .std
  • .ver
  • .wpl
  • .xlm
  • .yps
  • .1cd
  • .bck
  • .html
  • .bak
  • .odt
  • .pst
  • .log
  • .mpg
  • .mpeg
  • .odb
  • .wps
  • .xlk
  • .mdb
  • .dxg
  • .wpd
  • .wb2
  • .dbf
  • .ai
  • .3fr
  • .arw
  • .srf
  • .sr2
  • .bay
  • .crw
  • .cr2
  • .dcr
  • .kdc
  • .erf
  • .mef
  • .mrw
  • .nef
  • .nrw
  • .orf
  • .raf
  • .rwl
  • .rw2
  • .r3d
  • .ptx
  • .pef
  • .srw
  • .x3f
  • .der
  • .pem
  • .pfx
  • .p12
  • .p7b
  • .p7c
  • .jfif
  • .exif
  • .rar

  Solu??o

Mecanismo de varredura m¨ªnima: 9.800
Primeiro arquivo padr?o VSAPI: 12.420.04
Data do lan?amento do primeiro padr?o VSAPI: 23 mar?o 2016
VSAPI OPR Pattern Version: 12.421.00
VSAPI OPR Pattern ver?ffentlicht am: 24 mar?o 2016

Step 1

F¨¹r Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 3

Im abgesicherten Modus neu starten

[ Saber mais ]

Step 4

Diese Dateien suchen und l?schen

[ Saber mais ]
M?glicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollk?stchen Versteckte Elemente durchsuchen unter "Weitere erweiterte Optionen", um alle verborgenen Dateien und Ordner in den Suchergebnissen zu ber¨¹cksichtigen. ?
  • %Desktop%\DECRYPTION_HOWTO.Notepad
  • %Desktop%\surprise.bat
  • %Desktop%\Encrypted_Files.Notepad
DATA_GENERIC_FILENAME_1
  • W?hlen Sie im Listenfeld lt;i>Suchen in die Option Arbeitsplatz, und dr¨¹cken Sie die Eingabetaste.
  • Markieren Sie die gefundene Datei, und dr¨¹cken Sie UMSCHALT+ENTF, um sie endg¨¹ltig zu l?schen.
  • Wiederholen Sie die Schritte 2 bis 4 f¨¹r die ¨¹brigen Dateien:
      ?
      • %Desktop%\DECRYPTION_HOWTO.Notepad
      • %Desktop%\surprise.bat
      • %Desktop%\Encrypted_Files.Notepad

    • Step 5

    F¨¹hren Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt nach Dateien, die als RANSOM_SURPRISE.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.

    Step 7

    Durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt, und l?schen Sie Dateien, die als RANSOM_SURPRISE.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.


    Participe da nossa pesquisa!