RANSOM_CRYPTESLA.JAQ
Ransom:Win32/Tescrypt.A (Microsoft); Trojan.Cryptolocker.N (Symantec); Trojan-Ransom.Win32.Crypmod.wxx (Kaspersky)
Windows
Tipo de grayware:
Trojan
Destrutivo:
Não
Criptografado:
In the Wild:
Sim
Visão geral
Detalhes técnicos
Installation
Schleust die folgenden Dateien ein und führt sie aus:
- %Desktop%\RECOVERY.txt
- %Desktop%\RECOVERY.png
- %Desktop%\RECOVERY.html
- %Windows%\{random filename}.exe
(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKCU\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = %System%\cmd.exe /c start "" "%Windows%\{random filename}.exe"
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKCU\Software\xxxsys
HKCU\Software\{ID}
Fügt die folgenden Registrierungseinträge hinzu:
HKCU\Software\xxxsys
ID = "{random values}"
HKCU\Software\{ID}
Data = “{random values}”
HKLM\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLinkedConnections = 1
Einschleusungsroutine
Schleust die folgenden Dateien ein:
- %My Documents%\recover_file_{random}.txt
- {folders containing encrypted files}\Recovery+{random}.png
- {folders containing encrypted files}\Recovery+{random}.txt
- {folders containing encrypted files}\Recovery+{random}.html