RANSOM_CRYSIS.FFRA

Installation

Schleust die folgenden Dateien ein:

• %User Startup%\Info.hta ← ransom note
• %Desktop%\Data recovery FILESs .txt ← ransom note

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.. %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %System%\{malware filename}.exe
• %User Startup%\{malware filename}.exe
• %Application Data%\{malware filename}.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
{random 8 characters} = "%System%\{malware filename}.exe"

Andere Details

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• .odc
• .odm
• .odp
• .ods
• .odt
• .docm
• .docx
• .doc
• .odb
• .mp4
• sql
• .7z
• .m4a
• .rar
• .wma
• .gdb
• .tax
• .pkpass
• .bc6
• .bc7
• .avi
• .wmv
• .csv
• .d3dbsp
• .zip
• .sie
• .sum
• .ibank
• .t13
• .t12
• .qdf
• .bkp
• .qic
• .bkf
• .sidn
• .sidd
• .mddata
• .itl
• .itdb
• .icxs
• .hvpl
• .hplg
• .hkdb
• .mdbackup
• .syncdb
• .gho
• .cas
• .svg
• .map
• .wmo
• .itm
• .sb
• .fos
• .mov
• .vdf
• .ztmp
• .sis
• .sid
• .ncf
• .menu
• .layout
• .dmp
• .blob
• .esm
• .vcf
• .vtf
• .dazip
• .fpk
• .mlx
• .kf
• .iwd
• .vpk
• .tor
• .psk
• .rim
• .w3x
• .fsh
• .ntl
• .arch00
• .lvl
• .snx
• .cfr
• .ff
• .vpp_pc
• .lrf
• .m2
• .mcmeta
• .vfs0
• .mpqge
• .kdb
• .db0
• .dba
• .rofl
• .hkx
• .bar
• .upk
• .das
• .iwi
• .litemod
• .asset
• .forge
• .ltx
• .bsa
• .apk
• .re4
• .sav
• .lbf
• .slm
• .bik
• .epk
• .rgss3a
• .pak
• .big
• wallet
• .wotreplay
• .xxx
• .desc
• .py
• .m3u
• .flv
• .js
• .css
• .rb
• .png
• .jpeg
• .txt
• .p7c
• .p7b
• .p12
• .pfx
• .pem
• .crt
• .cer
• .der
• .x3f
• .srw
• .pef
• .ptx
• .r3d
• .rw2
• .rwl
• .raw
• .raf
• .orf
• .nrw
• .mrwref
• .mef
• .erf
• .kdc
• .dcr
• .cr2
• .crw
• .bay
• .sr2
• .srf
• .arw
• .3fr
• .dng
• .jpe
• .jpg
• .cdr
• .indd
• .ai
• .eps
• .pdf
• .pdd
• .psd
• .dbf
• .mdf
• .wb2
• .rtf
• .wpd
• .dxg
• .xf
• .dwg
• .pst
• .accdb
• .mdb
• .pptm
• .pptx
• .ppt
• .xlk
• .xlsb
• .xlsm
• .xlsx
• .xls
• .wps

Benennt verschlüsselte Dateien in folgende Namen um:

• {original filename}.[kuprin@india.com].wallet