RANSOM_XORIST.SMA

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %User Temp%\{random value}.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Schleust folgende Dateien/Komponenten ein:

• %User Profile%\Desktop\HOW TO DECRYPT FILES.txt
• %All Users Profile%\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt
• {folders containing encrypted files}\HOW TO DECRYPT FILES.txt

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Alcmeter = %User Temp%\{random value}.exe

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.EnCiPhErEd
(Default) = "EADQEVCXIGGSVPB"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
EADQEVCXIGGSVPB
(Default) = "CRYPTED!"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
EADQEVCXIGGSVPB\DefaultIcon
(Default) = "%User Temp%\{random value}.exe,0"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
EADQEVCXIGGSVPB\shell\open\
command
(Default) = "%User Temp%\{random value}.exe"

Andere Details

Benennt verschlüsselte Dateien in folgende Namen um:

• {original filename and extension}.EnCiPhErEd