RANSOM64_DYNACRYPT.A
HEUR:Trojan.Win32.Generic (KASPERSKY), W32/Generic.NHD!tr (FORTINET)
Windows
Type de grayware:
Ransomware
Destructif:
Non
Chiffrement:
Non
In the wild::
Oui
Overview
Anschließend werden die eingeschleusten Dateien ausgeführt. Dadurch können die bösartigen Routinen der eingeschleusten Dateien auf dem betroffenen System aktiv werden.
Entwendet vertrauliche Daten wie Benutzernamen und Kennwörter für bestimmte Spiele.
Détails techniques
Installation
Schleust folgende Dateien/Komponenten ein:
- %All Users Profile%\helper.exe
- %All Users Profile%\rec.exe
- %All Users Profile%\cwin.exe <- detected as Ransom_Genasom.R047C0DBA17
- %ProgramData%\helper.exe
- %ProgramData%\rec.exe
- %ProgramData%\cwin.exe <- detected as Ransom_Genasom.R047C0DBA17
- %AppDataLocal%\dyna\cry.exe <- detected as Ransom_DYNACRYPT.THAOEH
- %AppDataLocal%\dyna\kl.exe <- detected as Ransom_Genasom.R002C0DD417
- %AppDataLocal%\dyna\st.exe <- Ransom_DYNACRYPT.THAOEH
- %AppDataLocal%\dyna\res
- %AppDataLocal%\dyna\loot\Keylog\keylog_{date & time}.log <- contains keylog strokes
Erstellt die folgenden Ordner:
- %AppDataLocal%\dyna
- %AppDataLocal%\dyna\loot
- %AppDataLocal%\dyna\loot\Keylog
Einschleusungsroutine
Anschließend werden die eingeschleusten Dateien ausgeführt. Dadurch können die bösartigen Routinen der eingeschleusten Dateien auf dem betroffenen System aktiv werden.
Datendiebstahl
Entwendet vertrauliche Daten wie Benutzernamen und Kennwörter für folgende Spiele:
- Minecraft
- Steam
- TS3
Folgende Daten werden gesammelt:
- Keylog strokes
- Screenshots
Entwendete Daten
Speichert die entwendeten Informationen in der folgenden Datei:
- %AppDataLocal%\dyna\loot\Chrome\Cookies
- %AppDataLocal%\dyna\loot\Chrome\History
- %AppDataLocal%\dyna\loot\Firefox\key3.db
- %AppDataLocal%\dyna\loot\Firefox\places.sqlite
- %AppDataLocal%\dyna\loot\Firefox\Keylog\keylog_{date & time}.log
- %AppDataLocal%\dyna\loot\Minecraft
- %AppDataLocal%\dyna\loot\Screenshots
- %AppDataLocal%\dyna\loot\Skype
- %AppDataLocal%\dyna\loot\Steam
- %AppDataLocal%\dyna\loot\Thunderbird
- %AppDataLocal%\dyna\loot\TS3
- %AppDataLocal%\dyna\loot\browserpass.txt
Solutions
Step 1
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 3
Im abgesicherten Modus neu starten
Step 4
Diese Ordner suchen und löschen
- %AppDataLocal%\dyna
Step 5
Diese Dateien suchen und löschen
- %All Users Profile%\helper.exe
- %All Users Profile%\rec.exe
- %All Users Profile%\cwin.exe
- %ProgramData%\helper.exe
- %ProgramData%\rec.exe
- %ProgramData%\cwin.exe
- %All Users Profile%\helper.exe
- %All Users Profile%\rec.exe
- %All Users Profile%\cwin.exe
- %ProgramData%\helper.exe
- %ProgramData%\rec.exe
- %ProgramData%\cwin.exe
Step 6
Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als RANSOM64_DYNACRYPT.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Participez à notre enquête!