TROJ_CRYPWALL.TH
Windows
Malware-Typ:
Trojan
Zerstrerisch?:
Nein
Verschlsselt?:
Ja
In the wild::
Ja
Überblick
Ändert Zoneneinstellungen von Internet Explorer.
Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.
Technische Details
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:
- %Application Data%\{random}.exe
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Schleust die folgenden Dateien ein:
- HELP_RESTORE_FILES_{random}.html
- HELP_RESTORE_FILES_{random}.txt
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "%Application Data%\{random}.exe"
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_CURRENT_USER\Software\{random characters}
data = {DATA}
HKEY_CURRENT_USER\Software\msys
ID = {DATA}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLinkedConnections = 1
Prozessbeendigung
Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:
- taskmgr
- procexp
- regedit
- msconfig
- cmd.exe
Änderung der Startseite von Webbrowser und Suchseite
Ändert Zoneneinstellungen von Internet Explorer.
Andere Details
Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:
- http://{BLOCKED}4jksfds.sd5okr8mdfe4l.com/img.php
- http://vnrue854n3weo.{BLOCKED}sdf73a.com
- https://{BLOCKED}p62kz4nzx.tor2web.blutmagie.de
Verschlüsselt Dateien mit den folgenden Erweiterungen:
- sql
- mp4
- 7z
- rar
- m4a
- wma
- avi
- wmv
- csv
- d3dbsp
- zip
- sie
- sum
- ibank
- t13
- t12
- qdf
- gdb
- tax
- pkpass
- bc6
- bc7
- bkp
- qic
- bkf
- sidn
- sidd
- mdd
- ata
- itl
- itdb
- icxs
- hvpl
- hplg
- hkdbmdbackup
- syncdb
- gho
- cas
- svg
- map
- wmo
- itm
- sb
- fos
- mov
- vdf
- ztmp
- sis
- sid
- ncf
- menu
- layout
- dmp
- blob
- esm
- vcf
- vtf
- dazip
- fpk
- mlx
- kf
- iwd
- vpk
- tor
- psk
- rim
- w3x
- fsh
- ntl
- arch00
- lvl
- snx
- cfr
- ff
- vpp_pc
- lrf
- m2
- mcmeta
- vfs0
- mpqge
- kdb
- db0
- db
- rofl
- hkx
- bar
- upk
- das
- iwi
- litemod
- asset
- forge
- ltx
- bsa
- apk
- re4
- sav
- lbf
- slm
- bik
- epk
- rgss3a
- pak
- big
- unity3d
- wotreplay
- xxx
- desc
- py
- m3u
- flv
- js
- css
- rb
- png
- jpeg
- txt
- p7c
- p7b
- p12
- pfx
- pem
- crt
- cer
- der
- x3f
- srw
- pef
- ptx
- r3d
- rw2
- rwl
- raw
- raf
- orf
- nrw
- mrwref
- mef
- erf
- kdc
- dcr
- cr2
- crw
- bay
- sr2
- srf
- arw
- 3fr
- dng
- jpe
- jpg
- cdr
- indd
- ai
- eps
- pdd
- psd
- dbf
- mdf
- wb2
- rtf
- wpd
- dxg
- xf
- dwg
- pst
- accdb
- mdb
- pptm
- pptx
- ppt
- xlk
- xlsb
- xlsm
- xlsx
- xls
- wps
- docm
- docx
- doc
- odb
- odc
- odm
- odp
- ods
- odt
Benennt verschlüsselte Dateien in folgende Namen um:
- {original filename}.{ext}.zzz