RANSOM_CRYPTESLA.JAQ
Ransom:Win32/Tescrypt.A (Microsoft); Trojan.Cryptolocker.N (Symantec); Trojan-Ransom.Win32.Crypmod.wxx (Kaspersky)
Windows
Type de grayware:
Trojan
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
D¨¦tails techniques
Installation
Schleust die folgenden Dateien ein und f¨¹hrt sie aus:
- %Desktop%\RECOVERY.txt
- %Desktop%\RECOVERY.png
- %Desktop%\RECOVERY.html
- %Windows%\{random filename}.exe
(Hinweis: %Desktop% ist der Ordner 'Desktop' f¨¹r den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)
Autostart-Technik
F¨¹gt folgende Registrierungseintr?ge hinzu, um bei jedem Systemstart automatisch ausgef¨¹hrt zu werden.
HKCU\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = %System%\cmd.exe /c start "" "%Windows%\{random filename}.exe"
Andere System?nderungen
F¨¹gt die folgenden Registrierungsschl¨¹ssel hinzu:
HKCU\Software\xxxsys
HKCU\Software\{ID}
F¨¹gt die folgenden Registrierungseintr?ge hinzu:
HKCU\Software\xxxsys
ID = "{random values}"
HKCU\Software\{ID}
Data = ¡°{random values}¡±
HKLM\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLinkedConnections = 1
Einschleusungsroutine
Schleust die folgenden Dateien ein:
- %My Documents%\recover_file_{random}.txt
- {folders containing encrypted files}\Recovery+{random}.png
- {folders containing encrypted files}\Recovery+{random}.txt
- {folders containing encrypted files}\Recovery+{random}.html