RANSOM_CRYPSHED.N
Trojan:Win32/Dynamer!ac (Microsoft); a variant of MSIL/Kryptik.FBO (ESET); Trojan-Ransom.MSIL.Blasha.l (Kaspersky); Trojan.Ransomcrypt.AW (Symantec);
Windows
Type de grayware:
Trojan
Destructif:
Non
Chiffrement:
Oui
In the wild::
Oui
Overview
Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.
D¨¦tails techniques
Installation
Schleust folgende nicht b?sartigen Dateien ein:
- %Desktop%\YourID.txt (contains key)
- %Desktop%\Hacked.txt (ransom note)
(Hinweis: %Desktop% ist der Ordner 'Desktop' f¨¹r den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %Application Data%\Windows\win.exe
- %User Startup%\win.exe
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' f¨¹r den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmen¨¹\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmen¨¹\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmen¨¹\Programme\Autostart.)
Autostart-Technik
F¨¹gt folgende Registrierungseintr?ge hinzu, um bei jedem Systemstart automatisch ausgef¨¹hrt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Driver = ""%Application Data%\Windows\win.exe" /autostart"
Schleust die folgenden Dateien in den Autostart-Ordner von Windows ein, um sich selbst bei jedem Systemstart auszuf¨¹hren.
- %User Startup%\win.exe (copy of malware)
(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmen¨¹\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmen¨¹\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmen¨¹\Programme\Autostart.)
Andere System?nderungen
F¨¹gt die folgenden Registrierungseintr?ge hinzu:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SystemRestore\
Setup\Generalize
DisableSR = "1"
Andere Details
Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:
- {BLOCKED}.{BLOCKED}.188.170
Verschl¨¹sselt Dateien mit den folgenden Erweiterungen:
- .3dm
- .3ds
- .3fr
- .3g2
- .3gp
- .7z
- .AAC
- .AVI
- .CSS
- .FLV
- .JNG
- .JPG
- .MKV
- .MP2
- .MP4
- .PC1
- .PC2
- .PC3
- .PNS
- .PPJ
- .aac
- .ach
- .ai
- .apk
- .ar
- .arw
- .asf
- .asp
- .asx
- .avi
- .back
- .bak
- .bay
- .bz2
- .c
- .cdr
- .cer
- .cpp
- .cr2
- .crt
- .crw
- .cs
- .csv
- .db
- .dbf
- .dcr
- .dds
- .der
- .des
- .dng
- .doc
- .docm
- .docx
- .dtd
- .dwg
- .dxf
- .dxg
- .eml
- .eps
- .ert
- .fla
- .flac
- .flv
- .fon
- .gif
- .gz
- .h
- .hpp
- .html
- .ico
- .iif
- .indd
- .ini
- .ipe
- .ipg
- .jar
- .java
- .jp2
- .jpeg
- .jpg
- .jsp
- .kdc
- .key
- .log
- .lua
- .lz
- .m
- .m4a
- .m4v
- .max
- .mda
- .mdb
- .mdf
- .mef
- .mhtml
- .mov
- .mp3
- .mp4
- .mpe
- .mpeg
- .mpg
- .mrw
- .msg
- .myo
- .nd
- .nef
- .nk2
- .nrw
- .oab
- .obi
- .odb
- .odc
- .odm
- .odp
- .ods
- .odt
- .orf
- .ost
- .p12
- .p7b
- .p7c
- .pab
- .pas
- .pct
- .pdb
- .pdd
- .pem
- .per
- .pfx
- .php
- .pl
- .png
- .pps
- .ppt
- .pptm
- .pptx
- .prf
- .ps
- .psd
- .pst
- .ptx
- .py
- .qba
- .qbb
- .qbm
- .qbr
- .qbw
- .qbx
- .qby
- .r3d
- .raf
- .rar
- .raw
- .rm
- .rss
- .rtf
- .rw2
- .rwl
- .rz
- .s7z
- .sql
- .sr2
- .srf
- .str
- .swf
- .tar
- .text
- .txt
- .vb
- .vob
- .wav
- .wb2
- .wma
- .wmv
- .wpd
- .wps
- .x3f
- .xhtml
- .xlk
- .xlr
- .xls
- .xlsb
- .xlsm
- .xlsx
- .xml
- .yuv
- .zip
- .zipx
Solutions
Step 1
F¨¹r Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 3
Im abgesicherten Modus neu starten
Step 4
Diese Datei suchen und l?schen
- YourID.txt
- Hacked.txt
Step 5
Diesen Registrierungswert l?schen
Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f¨¹hren. F¨¹hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst¨¹tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Driver = ""%Application Data%\Windows\win.exe" /autostart"
- Driver = ""%Application Data%\Windows\win.exe" /autostart"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableTaskMgr = "1"
- DisableTaskMgr = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\Setup\Generalize
- DisableSR = 1
- DisableSR = 1
Step 6
F¨¹hren Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt nach Dateien, die als RANSOM_CRYPSHED.N entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.
Participez ¨¤ notre enqu¨ºte!