RANSOM_CRYPGPCODE.THJ

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

• %Application Data%\{random folder name}\{random filename}.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein:

• %User Temp%\pid.txt - contains process ID of the running malware
• %User Temp%\bind.exe - program used to prevent system logoff, standy and shutdown
• %User Temp%\bind.ini - configuration of bind.exe
• %User Temp%\lol.bin
• %Desktop%\how to get data.txt - ransom note
• {Folder of encrypted files}\how to get data.txt - ransom note
• {malware path}\works_fine.bat - used to delete initial copy

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.. %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

• taskmgr.exe
• bind.exe

Autostart-Technik

Schleust die folgenden Dateien in den benutzerspezifischen Autostart-Ordner von Windows ein, um sich selbst bei jedem Systemstart auszuführen.

• %User Startup%\Windows.lnk

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)

Andere Details

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• *.1cd
• *.3fr
• *.3gp
• *.7z
• *.?ar
• *.abk
• *.accdb
• *.adf
• *.ai
• *.arc
• *.arj
• *.arw
• *.ashbak
• *.ashdisk
• *.avi
• *.ba?
• *.backup
• *.bk?
• *.bmp
• *.bup
• *.cdr
• *.cdx
• *.cer
• *.cf
• *.cfu
• *.cr?
• *.cs?
• *.da?
• *.dbf
• *.dcr
• *.der
• *.dic
• *.divx
• *.djvu
• *.dng
• *.doc
• *.doc?
• *.dt
• *.dwg
• *.dx?
• *.e?f
• *.efd
• *.eps
• *.er?
• *.fbw
• *.fh
• *.flv
• *.frp
• *.gh?
• *.gif
• *.gzip
• *.hbi
• *.hdb
• *.htm
• *.html
• *.ifo
• *.img
• *.indd
• *.iso
• *.iv2i
• *.jpeg
• *.jpg
• *.kdc
• *.key
• *.kwm
• *.ld?
• *.m2v
• *.max
• *.md
• *.md?
• *.mef
• *.mkv
• *.mov
• *.mp4
• *.mpeg
• *.mpg
• *.mrw
• *.nba
• *.ndf
• *.nef
• *.nr?
• *.od?
• *.ol?
• *.one
• *.orf
• *.p12
• *.p7?
• *.pb?
• *.pd?
• *.pef
• *.pem
• *.pfx
• *.png
• *.pps
• *.pps?
• *.ppt
• *.ppt?
• *.psd
• *.pst
• *.ptx
• *.pwm
• *.qbw
• *.r??
• *.sco
• *.sef
• *.sk
• *.sr2
• *.srf
• *.srw
• *.tbk
• *.tc
• *.tib
• *.tif
• *.tmd
• *.txt
• *.v?
• *.v??
• *.v???
• *.wb2
• *.wbb
• *.wim
• *.wmv
• *.wpd
• *.wps
• *.x3f
• *.xl?
• *.xls?
• *.xml
• *.z?
• *.z??
• *.z???