RANSOM_CRYPCORE.C

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Installation

Schleust die folgenden Dateien ein:

• %Application Data%\Microsoft\TrueCrypter\TrueCrypter.xml

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %Application Data%\Microsoft\TrueCrypter\TrueCrypter.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner:

• %Application Data%\Microsoft\TrueCrypter\

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
TrueCrypter = "%Application Data%\Microsoft\TrueCrypter\TrueCrypter.exe"

Prozessbeendigung

Beendet die folgenden Prozesse, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• antilogger
• wireshark
• charles
• fiddler
• netmon
• reflector
• sbiectrl
• taskmgr

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• {BLOCKED}orastral.com/innocentuser001

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• .7z
• .7zip
• .arw
• .as
• .asm
• .asp
• .aspx
• .au3
• .avi
• .bash
• .bat
• .bmp
• .bookmarks
• .bsh
• .c
• .cbr
• .cc
• .cer
• .cfm
• .class
• .cmd
• .config
• .cpp
• .cr2
• .crw
• .cs
• .csh
• .csproj
• .csr
• .css
• .csv
• .cxx
• .d
• .db
• .dcr
• .dds
• .deb
• .dib
• .dng
• .doc
• .docm
• .docx
• .dot
• .dotm
• .dotx
• .dtd
• .eps
• .fla
• .fpx
• .gif
• .gz
• .gzip
• .h
• .hpp
• .hta
• .htm
• .html
• .hxx
• .ico
• .inc
• .index
• .ini
• .jad
• .java
• .jfif
• .jpe
• .jpeg
• .jpg
• .js
• .jsm
• .json
• .jsp
• .jss
• .jsx
• .kix
• .lex
• .litcofee
• .lpr
• .lua
• .m
• .mov
• .mp3
• .mp4
• .mrw
• .msg
• .mx
• .nef
• .ods
• .odt
• .org
• .p
• .pages
• .pas
• .pcd
• .pdf
• .pdn
• .php
• .php3
• .php4
• .php5
• .phps
• .phpt
• .phtml
• .pkg
• .pl
• .pm
• .pmx
• .png
• .pot
• .potm
• .potx
• .pp
• .ppam
• .ppsm
• .ppsx
• .pptm
• .pptx
• .prproj
• .ps
• .ps1
• .psd
• .psm1
• .ptx
• .pwi
• .py
• .pyc
• .pyw
• .r
• .raf
• .rar
• .raw
• .rb
• .rbw
• .rc
• .reg
• .resx
• .rpm
• .rss
• .rtf
• .rw2
• .s
• .scpt
• .sh
• .shtml
• .sitx
• .sldm
• .sldx
• .sln
• .splus
• .sql
• .sqlite
• .sqlite3
• .src
• .swift
• .sxc
• .tar
• .tga
• .thmx
• .tif
• .tiff
• .ts
• .tsv
• .tsx
• .txt
• .vb
• .vbs
• .vcxproj
• .veg
• .wmw
• .wpd
• .wps
• .xcodeproj
• .xht
• .xhtm
• .xhtml
• .xls
• .xlsx
• .xml
• .zip
• .zipx
• pps
• ppt
• xlam
• xlsb
• xlsm
• xltm
• xltx

Benennt verschlüsselte Dateien in folgende Namen um:

• {original filepath}\{original filename}.{original file extention).enc