Analyse von: Michael Jay Villanueva   
 

Win32/Filecoder.TeslaCrypt.K trojan (NOD32); Trojan.Win32.Crypt (Ikarus);

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 live casino online L?sungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Trojan

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
    Ja

  • In the wild::
    Ja

  ?berblick

Infektionsweg: Aus dem Internet heruntergeladen

?ndert Zoneneinstellungen von Internet Explorer.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

  Technische Details

Dateigr??e: 265,728 bytes
Dateityp: EXE
Speicherresiden: Ja
Erste Muster erhalten am: 07 April 2016
Schadteil: Connects to URLs/IPs, Encrypts files, Deletes files, Terminates processes

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

  • %My Documents%\{random filename}.exe

    (Note: %My Documents% is usually C:\Documents and Settings\{user name}\My Documents on Windows 2000, XP, and Server 2003, or C:\Users\{user name}\Documents on Windows Vista and 7.)

Schleust folgende Komponentendateien ein:

  • %My Documents%\desctop.ini
  • %My Documents%\-!recover!-!file!-.txt
  • {folders containing encrypted files}\-!RecOveR!-{random}++.Png
  • {folders containing encrypted files}\-!RecOveR!-{random}++.Txt
  • {folders containing encrypted files}\-!RecOveR!-{random}++.Htm
  • %Desktop%\-!RecOveR!-{random}++.Png
  • %Desktop%\-!RecOveR!-{random}++.Txt

(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseintr?ge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = C:\WINDOWS\SYSTEM32\CMD.EXE /C START "" "%My Documents%\{random filename}.exe"

Andere System?nderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\Axronics

Fügt die folgenden Registrierungseintr?ge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLinkedConnections = 1

?nderung der Startseite von Webbrowser und Suchseite

?ndert Zoneneinstellungen von Internet Explorer.

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

  • http://{BLOCKED}s-and-custom.com/strfile.php
  • http://{BLOCKED}awkins.com/strfile.php
  • http://{BLOCKED}counts.org/strfile.php
  • http://{BLOCKED}ientes.com/strfile.php
  • http://{BLOCKED}ccarthynfl.com/strfile.php
  • http://baby.{BLOCKED}o.com/strfile.php

Verschlüsselt Dateien mit den folgenden Erweiterungen:

  • .3fr
  • .7z
  • .accdb
  • .ai
  • .amp
  • .apk
  • .arch00
  • .arw
  • .asset
  • .avi
  • .bar
  • .bay
  • .bc6
  • .bc7
  • .big
  • .bik
  • .bkf
  • .bkp
  • .blob
  • .bsa
  • .cas
  • .cdr
  • .cer
  • .cfr
  • .cr2
  • .crt
  • .crw
  • .css
  • .csv
  • .d3dbsp
  • .das
  • .dazip
  • .db0
  • .dba
  • .dbf
  • .dcr
  • .der
  • .desc
  • .dmp
  • .dng
  • .doc
  • .docm
  • .docx
  • .dwg
  • .dxg
  • .epk
  • .eps
  • .erf
  • .esm
  • .ff
  • .flv
  • .forge
  • .fos
  • .fpk
  • .fsh
  • .gdb
  • .gho
  • .hkdb
  • .hkx
  • .hplg
  • .hvpl
  • .ibank
  • .icxs
  • .indd
  • .itd
  • .itdb
  • .itl
  • .itm
  • .iwd
  • .iwi
  • .jpeg
  • .jpg
  • .js
  • .kdb
  • .kdc
  • .kf
  • .layout
  • .lbf
  • .litemod
  • .lrf
  • .ltx
  • .lvl
  • .m2
  • .m3u
  • .m4a
  • .mcmeta
  • .mdb
  • .mdbackup
  • .mdd
  • .mddata
  • .mdf
  • .mef
  • .menu
  • .mlx
  • .mov
  • .mp4
  • .mpqge
  • .mrwref
  • .ncf
  • .nrw
  • .ntl
  • .odb
  • .odc
  • .odm
  • .odp
  • .ods
  • .odt
  • .orf
  • .p12
  • .p7b
  • .p7c
  • .pak
  • .pdd
  • .pdf
  • .pef
  • .pem
  • .pfx
  • .pkb
  • .pkpass
  • .png
  • .ppt
  • .pptm
  • .pptx
  • .psd
  • .psk
  • .pst
  • .ptx
  • .py
  • .qdf
  • .qic
  • .r3d
  • .raf
  • .rar
  • .raw
  • .rb
  • .re4
  • .rgss3a
  • .rim
  • .rofl
  • .rtf
  • .rw2
  • .rwl
  • .sav
  • .sb
  • .sid
  • .sidd
  • .sidn
  • .sie
  • .sis
  • .slm
  • .snx
  • .sql
  • .sr2
  • .srf
  • .srw
  • .sum
  • .svg
  • .syncdb
  • .t12
  • .t13
  • .tax
  • .tor
  • .txt
  • .upk
  • .vcf
  • .vdf
  • .vfs
  • .vfs0
  • .vpk
  • .vpp_pc
  • .vtf
  • .w3x
  • .wallet
  • .wb2
  • .wma
  • .wmo
  • .wmv
  • .wotreplay
  • .wpd
  • .wps
  • .x3f
  • .xf
  • .xlk
  • .xls
  • .xlsb
  • .xlsm
  • .xlsx
  • .xxx
  • .zip
  • .ztm
  • .ztmp

?ffnet die folgenden Dateien:

  • %Desktop%\-!RecOveR!-{random}++.Png
  • %Desktop%\-!RecOveR!-{random}++.Txt

(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)

  L?sungen

Mindestversion der Scan Engine: 9.800
Erste VSAPI Pattern-Datei: 12.454.01
Erste VSAPI Pattern ver?ffentlicht am: 07 April 2016
VSAPI OPR Pattern-Version: 12.455.00
VSAPI OPR Pattern ver?ffentlicht am: 08 April 2016

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 3

Durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt. Achten Sie auf Dateien, die als RANSOM_CRYPTESLA.CBQ47 entdeckt werden

Step 4

Im abgesicherten Modus neu starten

[ learnMore ]

Step 5

Diesen Registrierungswert l?schen

[ learnMore ]

Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

?
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • {random} = C:\WINDOWS\SYSTEM32\CMD.EXE /C START "" "%My Documents%\{random filename}.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    • EnableLinkedConnections = "1"
DATA_GENERIC_KEY
  • Suchen und l?schen Sie im rechten Fensterbereich den folgenden Eintrag:
    DATA_GENERIC_ENTRY
  • Schlie?en Sie den Registrierungs-Editor.

    • Step 6

    Diesen Registrierungsschlüssel l?schen

    [ learnMore ]

    Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

    ?
    • In HKEY_CURRENT_USER\Software
      • Axronics = ""

    Step 7

    Diese Dateien suchen und l?schen

    [ learnMore ]
    M?glicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollk?stchen Versteckte Elemente durchsuchen unter "Weitere erweiterte Optionen", um alle verborgenen Dateien und Ordner in den Suchergebnissen zu berücksichtigen.
    • %My Documents%\desctop.ini
    • %My Documents%\-!recover!-!file!-.txt
    • {folders containing encrypted files}\-!RecOveR!-{random}++.Png
    • {folders containing encrypted files}\-!RecOveR!-{random}++.Txt
    • {folders containing encrypted files}\-!RecOveR!-{random}++.Htm
    • %Desktop%\-!RecOveR!-{random}++.Png
    • %Desktop%\-!RecOveR!-{random}++.Txt
     DATA_GENERIC_FILENAME_1
  • W?hlen Sie im Listenfeld lt;i>Suchen in die Option Arbeitsplatz, und drücken Sie die Eingabetaste.
  • Markieren Sie die gefundene Datei, und drücken Sie UMSCHALT+ENTF, um sie endgültig zu l?schen.
  • Wiederholen Sie die Schritte 2 bis 4 für die übrigen Dateien:
      • %My Documents%\desctop.ini
      • %My Documents%\-!recover!-!file!-.txt
      • {folders containing encrypted files}\-!RecOveR!-{random}++.Png
      • {folders containing encrypted files}\-!RecOveR!-{random}++.Txt
      • {folders containing encrypted files}\-!RecOveR!-{random}++.Htm
      • %Desktop%\-!RecOveR!-{random}++.Png
      • %Desktop%\-!RecOveR!-{random}++.Txt

    • Step 8

    Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt nach Dateien, die als RANSOM_CRYPTESLA.CBQ47 entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.


    Nehmen Sie an unserer Umfrage teil