RANSOM_CRYPTESLA.CBQ163V
Trojan-Ransom.Win32.Bitman.vnq (Kaspersky)
Windows
Tipo de grayware:
Trojan
Destrutivo:
Não
Criptografado:
In the Wild:
Sim
Visão geral
Detalhes técnicos
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:
- %My Documents%\{random filename}.exe
(Note: %My Documents% is usually C:\Documents and Settings\{user name}\My Documents on Windows 2000, XP, and Server 2003, or C:\Users\{user name}\Documents on Windows Vista and above.)
Schleust die folgenden Dateien ein:
- {folders containing encrypted files}\+REcovER+{random characters}+.txt
- {folders containing encrypted files}\+REcovER+{random characters}+.html
- {folders containing encrypted files}\+REcovER+{random characters}+.png
- %My Documents%\+REcovER+{random characters}+.txt
- %My Documents%\+REcovER+{random characters}+.html
- %My Documents%\+REcovER+{random characters}+.png
- %My Documents%\recover.bin
- %My Documents%\+recover+file.txt
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random key name} = "C:\WINDOWS\SYSTEM32\CMD.EXE /C START "" "%My Documents%\{random filename}.exe"
Andere Systemänderungen
Ändert die folgenden Dateien:
- It encrypts files in all fixed, removable, and network drives and shares.
- It does not append an extension name to the encrypted files
Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLinkedConnections = "1"