Ransom.Win32.IMSORRY.THGAGAIA

Installation

Fügt die folgenden Prozesse hinzu:

• %ApplicationData%\desk.bat
• reg add "HKCU\control panel\desktop" /v wallpaper /t REG_SZ /d "" /f ;
• reg add "HKCU\control panel\desktop" /v wallpaper /t REG_SZ /d "%ApplicationData%\des1.jpg" /f ;
• reg delete "HKCU\Software\Microsoft\Internet Explorer\Desktop\General" /v WallpaperStyle /f;
• reg add "HKCU\control panel\desktop" /v WallpaperStyle /t REG_SZ /d 2 /f;
• RUNDLL32.EXE user32.dll,UpdatePerUserSystemParameters ;
• vssadmin.exe Delete Shadows /All /Quiet;
• sc stop VVS;
• sc stop wscsvc;
• sc stop WinDefend;
• sc stop wuauserv;
• sc stop BITS;
• sc stop ERSvc;
• sc stop WerSvc;
• bcdedit /set {default} recoveryenabled No;
• bcdedit /set {default} bootstatuspolicy ignoreallfailures;
• vssadmin.exe Delete Shadows /All /Quiet;
• %Application Data%\svchost .exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Andere Systemänderungen

Ändert die folgenden Registrierungseinträge:

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = 2

Ändert das Hintergrundbild des Desktops durch Abänderung der folgenden Registrierungseinträge:

HKEY_CURRENT_USER\Control Panel\Desktop
wallpaper = %ApplicationData%\des1.jpg

Einschleusungsroutine

Schleust die folgenden Dateien ein:

• %Application Data%\desk.bat
• %Application Data%\des1
• %Application Data%\svchost .exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Andere Details

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• .odt
• .ods
• .odp
• .odm
• .ode
• .odb
• .doc
• .docx
• .docm
• .wps
• .xls
• .xlsx
• .xlsm
• .xlsb
• .xlk
• .ppt
• .pptx
• .pptm
• .mdb
• .accdb
• .pst
• .dwg
• .dxf
• .dxg
• .wpd
• .rtf
• .pcx
• .wb2
• .mdf
• .dbf
• .psd
• .pdd
• .pdf
• .djvu
• .jpg
• .c
• .cpp
• .txt
• .jpeg
• .png
• .gif
• .bmp
• .mp3
• .apk
• .zip
• .aspx
• .php
• .sqlite3
• .rar
• .eps
• .ai.indd
• .cdr
• .dng
• .3fr
• .arw
• .srf
• .sr2
• .bay
• .crw
• .cr2
• .dcr
• .kdc
• .erf
• .mef
• .mrwref
• .nrw
• .orf
• .raf
• .raw
• .rwl
• .rw2
• .r3d
• .ptx
• .pef
• .srw
• .x3f
• .der
• .cer
• .crt
• .pem
• .pfx
• .p12
• .p7b
• .p7c
• .html
• .css
• .js
• .sql
• .mp4
• .flv
• .m3u
• .py
• .desc
• .con
• .htm
• .bin
• .wotreplay
• .unity3d
• .big
• .pak
• .rgss3a
• .epk
• .bik
• .slm
• .lbf
• .sav
• .lng
• .ttarch2
• .mpq
• .re4
• .bsa
• .cab
• .ltx
• .forge
• .asset
• .hkx
• .DayZProfile
• .dbO
• .mpqge
• .vfsO
• .mcmeta
• .m2
• .lrf
• .vpp_pc
• .ff
• .cfr
• .snx
• .lvl
• .arch00
• .ntl
• .fsh
• .w3x
• .rim
• .psk
• .tor
• .vpk
• .iwd
• .kf
• .mix
• .fpk
• .vtf
• .001
• .esm
• .blob
• .dmp
• .layout
• .menu
• .ncf
• .sid
• .sis
• .vdf
• .mcgame
• .fos
• .sb
• .im
• .wmo
• .itni
• .map
• .svg
• .cas
• .gho
• .iso
• .ncdb
• .mdbackup
• .hkdb
• .hplg
• .hvpl
• .icxs
• .itdb
• .itl
• .mddata
• .sidd
• .sidn
• .bkf
• .qic
• .bkp
• .bc7
• .bc6
• .pkpass
• .tax
• .gdb
• .qdf
• .tl2.tl3
• .ibank
• .sum
• .sie
• .sc2save
• .d3dbsp
• .wmv
• .avi
• .wma
• .m4a
• .7z
• .torrent
• .csv
• .cs
• .jar
• .java
• .class
• .wav
• .asp
• .sqlitedb
• .w