Ransom.MSIL.VIGRA.THIODAIA

Installation

Fügt die folgenden Prozesse hinzu:

• vssadmin Delete Shadows /All /Quiet → deletes shadow copies
• cipher /W:%System Root%:\ → wipes data from %System Root%
• fsutil usn deletejournal /D %System Root% → delete an active USN change journal on %System Root%
• shutdown -L → logs off the current user on machine

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Andere Systemänderungen

Ändert die folgenden Registrierungseinträge:

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %Desktop%\BACKGROUND.BMP

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = 2

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
legalnoticecaption = Viagra yungthugger (V-0.1.31)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
legalnoticetext = {user name}, your files are encrypted. Look for README-VIAGRA-{8 random characters}.HTML in every folder, for instructions on how to get your files back.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion
RegisteredOwner = {user name}, your files are encrypted. Look for README-VIAGRA-{8 random characters}.HTML in every folder, for instructions on how to get your files back.

Stellt auf dem System das folgende Bild als Desktop-Hintergrundbild ein:

Einschleusungsroutine

Schleust die folgenden Dateien ein:

• %Desktop%\BACKGROUND.BMP → used as wallpaper

(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\Desktop unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Andere Details

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• .txt
• .doc
• .jpg
• .ogg
• .jpeg
• .tif
• .tiff
• .png
• .docx
• .docm
• .xlsm
• .xlsx
• .pdf
• .pptm
• .pptx
• .ppt
• .xls
• .xla
• .dot
• .dotm
• .odb
• .odf
• .bmp
• .odg
• .htm
• .html
• .xml
• .pfx
• .bit
• .pdf
• .com
• .css
• .js
• .vbs
• .sln
• .au3
• .flac
• .url
• .ini
• .cfg
• .conf
• .avi
• .mp3
• .m4a
• .3gp
• .vid
• .vob
• .asm
• .webmoney
• .sav
• .nth
• .java
• .jar
• .sis
• .key
• .$$$
• .reg
• .apk
• .ncf
• .navpath
• .nfo
• .nokogiri
• .nrg
• .nsh
• .rtf
• .nvram
• .oa2
• .oa3
• .obj
• .obt
• .obx
• .obz
• .ocr
• .odif
• .odo
• .oda
• .odl
• .osd
• .osf
• .ps1
• .p01
• .p10
• .p12
• .7z
• .rar
• .zip
• .arj
• .tar.gz
• .tar
• .pak
• .pcd
• .pdb
• .pdc
• .prc
• .peb
• .pef
• .cad
• .pkg
• .ply
• .ppx
• .proofingtool
• .ps
• .pub
• .pubx
• .py
• .pyc
• .pys
• .qbx
• .r00
• .rw
• .rwlibrary
• .so
• .sam
• .sh
• .shtml
• .xhtml
• .smh
• .opus
• .sql
• .sqlite1
• .sqlite
• .spb
• .ssh
• .struct
• .suf
• .ssx
• .tex
• .tdr
• .jtd
• .tga
• .torrent
• .tor
• .tml
• .lua
• .tgz
• .thm
• .web
• .wdb
• .gif
• .gadget
• .erf
• .wmv
• .mov
• .cdr
• .qbm
• .x11
• .war
• .eps
• .bik
• .jtt
• .go
• .602
• .c
• .cs
• .h
• .cpp
• .hpp
• .sln
• .rdb
• .cer
• .mp2
• .xhtml
• .php
• .mf
• .xsl
• .sheet
• .sas7bdat
• .djvu
• .stone
• .tga
• .eml
• .mmpz
• .mmp
• .bin
• .3g2
• .sql
• .3dm
• .wks
• .wps
• .mpa
• .wpl
• .deb
• .elf
• .dbg
• .sav
• .csv
• .cgi
• .bat
• .wsf
• .svg
• .ico
• .cfm
• .rss
• .class
• .sh
• .swift
• .mkv
• .sb
• .pk3
• .skb
• .szs
• .prz
• .mpp
• .spc
• .myd
• .ccp4
• .eossa
• .cdf
• .ps1
• .ps1xml
• .p7b
• .p7c
• .gsm
• .vgm
• .bkp
• .band
• .hs
• .gml
• .e
• .d
• .xpl
• .osr
• .osu
• .mcpack
• .mctemplate
• .lip
• .3ds
• .wad
• .gba
• .gbc
• .fds
• .maf
• .jsp
• .ihtml
• .cps
• .vb