Ransom_LOCKY.DLDSAOO

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Installation

Schleust die folgenden Dateien ein:

• {folders containing encrypted files}\_{count of dropped note per folder}_HELP_instructions.html - ransom note

Schleust die folgenden Dateien ein und führt sie aus:

• %Desktop%\_HELP_instructions.html - ransom note
• %Desktop%\_HELP_instructions.bmp - image used as wallpaper

(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %Desktop%\_HELP_instructions.bmp

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• http://{Domain}/data/info.php
  where {Domain} can be any of the following:
  • {BLOCKED}.{BLOCKED}.6.109
  • (BLOCKED}.{BLOCKED}.8.101
  • {BLOCKED}.{BLOCKED}.119.71
  • {Domain Generated Algorithm}.{ru, info, biz, click, su, work, pl, org, pw, xyz}
  
  

Benennt verschlüsselte Dateien in folgende Namen um:

• {unique ID per victim}-{identifier}.zepto