RANSOM_POGOTEAR.A
Ransom:MSIL/Ryzerlo.A (Microsoft); a variant of MSIL/Filecoder.Y (ESET);
Windows
Tipo de grayware:
Trojan
Destrutivo:
Não
Criptografado:
Não
In the Wild:
Sim
Visão geral
Um einen Überblick über das Verhalten dieser Trojan zu erhalten, verwenden Sie das unten gezeigte Bedrohungsdiagramm.
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.
Detalhes técnicos
Installation
Schleust die folgenden Dateien ein:
- C:\Users\{username}\Desktop\هام جدا.txt -> ransom note
- C:\Users\{username}\Desktop\pk -> key
- %User Startup%\{random characters}.exe -> (to be detected as Ransom_POGOTEAR.A)
(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)
Hinterlässt Textdateien, um Lösegeld durch folgenden Inhalt zu erpressen:
- (: لقد تم تشفير ملفاتكم، لفك الشفرة فلكسي موبيليس للعنوان التالي me.{BLOCKED}20152015@mt2015.com وشكرا على كرمكم مسبقا
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
PokemonGo = "{Malware file path and file name}"
Andere Systemänderungen
Fügt die folgenden Registrierungseinträge hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
SpecialAccounts\UserList
Hack3r = "0"
Verbreitung
Schleust Eigenkopien in die folgenden Laufwerke ein:
- {Destination Root*}\PokemonGo.exe
- All fixed drives, removable drives, shared folders and mapped network drives
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:
[AutoRun]
OPEN=PokemonGo.exe
ICON=PokemonGo.exe
Prozessbeendigung
Beendet die folgenden Prozesse, wenn sie im Speicher des betroffenen Systems ausgeführt werden:
- SMΔRTP
Andere Details
Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:
- http://{BLOCKED}.{BLOCKED}.0.169/PokemonGo/write.php?info={computername}-{username} {key}<br>
Verschlüsselt Dateien mit den folgenden Erweiterungen:
- .txt
- .rtf
- .doc
- .mht
- .docx
- .xls
- .xlsx
- .ppt
- .pptx
- .odt
- .jpg
- .png
- .csv
- .sql
- .mdb
- .sln
- .php
- .asp
- .aspx
- .html
- .xml
- .psd
- .htm
- .gif
- .png
Benennt verschlüsselte Dateien in folgende Namen um:
- {original file name and file extension}.locked
Solução
Step 1
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 3
Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als RANSOM_POGOTEAR.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Step 4
Im abgesicherten Modus neu starten
Step 5
Diese Datei suchen und löschen
- C:\Users\{username}\Desktop\هام جدا.txt
- C:\Users\{username}\Desktop\pk
Step 6
Diesen Registrierungswert löschen
Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- PokemonGo = "{Malware file path and file name}"
- PokemonGo = "{Malware file path and file name}"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList
- Hack3r = "0"
- Hack3r = "0"
Step 7
AUTORUN.INF Dateien suchen und löschen, die von RANSOM_POGOTEAR.A erstellt wurden und diese Zeichenfolgen enthalten
- [AutoRun]
- OPEN=PokemonGo.exe
- ICON=PokemonGo.exe
Step 8
Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als RANSOM_POGOTEAR.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Participe da nossa pesquisa!