Analyse von: Rhena Inocencio   
 

Ransom:Win32/Tescrypt!rfn (Microsoft), Ransomware-FEJ!8163ED7BBFA6 (McAfee)

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Trojan

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick


  Technische Details

Dateigröße: Variiert
Dateityp: EXE
Erste Muster erhalten am: 29 März 2016

Installation

Schleust die folgenden Dateien ein:

  • %My Documents%\+recover+file.txt
  • %Desktop%\+REcovER+{random}.TXT
  • %Desktop%\+REcovER+{random}.PNG
  • {folders containing encrypted files}\+REcovER+{random}.png
  • {folders containing encrypted files}\+REcovER+{random}.txt

(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %My Documents%\{random filename}.exe

    (Note: %My Documents% is usually C:\Documents and Settings\{user name}\My Documents on Windows 2000, XP, and Server 2003, or C:\Users\{user name}\Documents on Windows Vista and 7.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "C:\WINDOWS\SYSTEM32\CMD.EXE /C START "" "%My Documents%\{random filename}.exe""

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\Axronics

HKEY_CURRENT_USER\Software\{ID}

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLinkedConnections = "1"