Analisado por: Francis Xavier Antazo   
 

Ransom:Win32/Tescrypt.D (Microsoft); Win32/Filecoder.TeslaCrypt.I (ESET); Ransomware-FGG!F01BC5B9E080 (McAfee);

 Plataforma:

Windows

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Trojan

  • Destrutivo:
    Não

  • Criptografado:
    Sim

  • In the Wild:
    Sim

  Visão geral

Ändert Zoneneinstellungen von Internet Explorer.

  Detalhes técnicos

Tipo de compactação: 334848 bytes
Tipo de arquivo: EXE
Residente na memória: Sim
Data de recebimento das amostras iniciais: 09 março 2016
Carga útil: Connects to URLs/IPs, Displays message/message boxes, Encrypts files, Steals information

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

  • %Windows%\{random filename}.exe

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Schleust folgende Komponentendateien ein:

  • {folders containing encrypted files}\_ReCoVeRy_+{random}.png - ransom note
  • {folders containing encrypted files}\_ReCoVeRy_+{random}.html - ransom note
  • {folders containing encrypted files}\_ReCoVeRy_+{random}.txt - ransom note
  • %My Documents%\_ReCoVeRy_+{random}.html - ransom note
  • %My Documents%\_ReCoVeRy_+{random}.txt - ransom note
  • %My Documents%\recover_file_{random}.txt - ransom note

    (Note: %My Documents% is usually C:\Documents and Settings\{user name}\My Documents on Windows 2000, XP, and Server 2003, or C:\Users\{user name}\Documents on Windows Vista and 7.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "C:\Windows\system32\CMD.EXE /c start %Windows%\{random filename}.exe"

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\zzzsys

HKEY_CURRENT_USER\Software\{ID}

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\zzzsys
ID = "{ID}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLinkedConnections = "1"

Änderung der Startseite von Webbrowser und Suchseite

Ändert Zoneneinstellungen von Internet Explorer.

  Solução

Mecanismo de varredura mínima: 9.800
Participe da nossa pesquisa!