RANSOM_CRYPSHED.TX

Installation

Schleust eine Kopie von sich selbst in folgende Ordner ein, wobei verschiedene Dateinamen verwendet werden:

• %ProgramData%\Windows\csrss.exe

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Client Server Runtime Subsystem = "%ProgramData%\Windows\csrss.exe"

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
xVersion = "4.0.0.1"

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
xi = "{ID}"

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
xmode = "{mode}"

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
xstate = "{state}"

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
xcnt = "{encrypted files count}"

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
shst = "{number}"

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
sh2 = "{Public Key}"

Stellt auf dem System das folgende Bild als Desktop-Hintergrundbild ein:

Einschleusungsroutine

Schleust die folgenden Dateien ein:

• %User Temp%\ns{random}.tmp
• %User Temp%\ns{random}.tmp\System.dll
• %User Profile%\System32\xfs - list of encrypted files
• {Drive Letter}:\README{number}.txt-serves as ransom note
• %User Temp%\metamorph_flash100
• %User Temp%\jquery-ui-stars_ver-3.9.1.css
• %User Temp%\button-uqanswers.png
• %User Temp%\JcyJpqCkpCfIJRU.3mGzJUmd8lt
• %Application Data%\{random alphanumeric characters}.bmp - wallpaper (serves as ransom notice)

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Andere Details

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• .edml
• .raw
• .jpg
• .jpeg
• .jpe
• .bmp
• .png
• .tif
• .tiff
• .dib
• .gif
• .svg
• .svgz
• .rle
• .tga
• .vda
• .icb
• .wbm
• .wbmp
• .jpf
• .jpx
• .jp2
• .j2k
• .j2c
• .jpc
• .avi
• .mkv
• .mov
• .mp4
• .wmv
• .3gp
• .mpg
• .mpeg
• .m4v
• .divx
• .mpv
• .m1v
• .dat
• .anim
• .m4a
• .qt
• .3g2
• .f4v
• .mkidx
• .mka
• .avs
• .vdr
• .flv
• .bin
• .mp3
• .wav
• .asx
• .pls
• .zip
• .7z
• .rar
• .tar
• .gz
• .bz2
• .wim
• .xz
• .c
• .h
• .hpp
• .cpp
• .php
• .php3
• .php4
• .php5
• .py
• .pl
• .sln
• .js
• .json
• .inc
• .sql
• .java
• .class
• .ini
• .asm
• .clx
• .tbb
• .tbi
• .tbk
• .pst
• .dbx
• .cbf
• .crypted
• .tib
• .eml
• .fld
• .vbm
• .vbk
• .vib
• .vhd
• .mtr
• .vault
• .1cd
• .dt
• .cf
• .cfu
• .mxl
• .epf
• .vrp
• .grs
• .geo
• .elf
• .lgf
• .lgp
• .log
• .st
• .pff
• .mft
• .efd
• .md
• .dmp
• .fdb
• .lst
• .fbk

Benennt verschlüsselte Dateien in folgende Namen um:

• {random characters}=.{ID}.no_more_ransom

Setzt die Attribute der eingeschleusten Dateien Versteckt und System:

• %Program Data%\Windows\
• %User Profile%\System32\
• %User Profile%\System32\xfs

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)