RANSOM_ALFA.A

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Installation

Schleust eine Kopie von sich selbst in folgende Ordner ein, wobei verschiedene Dateinamen verwendet werden:

• %Application Data%\Microsoft\Essential\msestl32.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein und führt sie aus:

• %Desktop%\README HOW TO DECRYPT YOUR FILES.HTML - serves as ransom note
• %Desktop%\README HOW TO DECRYPT YOUR FILES.TXT - serves as ransom note

(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

• explorer.exe
• dllhost.exe

Autostart-Technik

Ändert die folgenden Registrierungseinträge, um bei jedem Systemstart automatisch ausgeführt zu werden:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
MSEstl = %Application Data%\Microsoft\Essential\msestl32.exe

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\(random values)

Ändert die folgenden Registrierungseinträge:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\(random values)
(random name) = (hex values)

Einschleusungsroutine

Schleust die folgenden Dateien ein:

• %User Profile%\Documents\README HOW TO DECRYPT YOUR FILES.TXT - serves as ransom note
• %User Profile%\Documents\README HOW TO DECRYPT YOUR FILES.HTML - serves as ransom note
• {root drive}\README HOW TO DECRYPT YOUR FILES.TXT - serves as ransom note
• {root drive}\README HOW TO DECRYPT YOUR FILES.HTML - serves as ransom note

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• http://{BLOCKED}y.ru/(random values)

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• .c
• .h
• .m
• .ai
• .cs
• .db
• .nd
• .pl
• .ps
• .py
• .rm
• .3dm
• .3ds
• .3fr
• .3g2
• .3gp
• .ach
• .arw
• .asf
• .asx
• .avi
• .bak
• .bay
• .cdr
• .cer
• .cpp
• .cr2
• .crt
• .crw
• .dbf
• .dcr
• .dds
• .der
• .des
• .dng
• .doc
• .dtd
• .dwg
• .dxf
• .dxg
• .eml
• .eps
• .erf
• .fla
• .flvv
• .hpp
• .iif
• .jpe
• .jpg
• .kdc
• .key
• .lua
• .m4v
• .max
• .mdb
• .mdf
• .mef
• .mov
• .mp3
• .mp4
• .mpg
• .mrw
• .msg
• .nef
• .nk2
• .nrw
• .oab
• .obj
• .odb
• .odc
• .odm
• .odp
• .ods
• .odt
• .orf
• .ost
• .p12
• .p7b
• .p7c
• .pab
• .pas
• .pct
• .pdb
• .pdd
• .pdf
• .pef
• .pem
• .pfx
• .pps
• .ppt
• .prf
• .psd
• .pst
• .ptx
• .qba
• .qbb
• .qbm
• .qbr
• .qbw
• .qbx
• .qby
• .r3d
• .raf
• .raw
• .rtf
• .rw2
• .rwl
• .sql
• .sr2
• .srf
• .srt
• .srw
• .svg
• .swf
• .tex
• .tga
• .thm
• .tlg
• .txt
• .vob
• .wav
• .wb2
• .wmv
• .wpd
• .wps
• .no
• .xlk
• .xlr
• .xls
• .yuv
• .back
• .docm
• .docx
• .flac
• .indd
• .java
• .jpeg
• .pptm
• .pptx
• .xlsb
• .xlsm
• .xlsx