RANSOM_CRYPAPP.A

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Installation

Schleust folgende Komponentendateien ein:

• %User Temp%\keepalive.exe - also detected as RANSOM_CRYPAPP.A

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
CryptoAppDelay = {multiple entries}

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
CryptoAppAppForcedEnded = "1"

HKEY_CURRENT_USER\Software\CryptoApp\
scrsss\progress
files = {number of files encrypted}

HKEY_CURRENT_USER\Software\CryptoApp\
scrsss\progress
done = {infection status}

HKEY_CURRENT_USER\Software\CryptoApp\
scrsss\progress
mode = 2

Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER\Software\CryptoApp\
scrsss\progress

Download-Routine

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

• %System%\scsrss.exe - also detected as RANSOM_CRYPAPP.A

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• http://{BLOCKED}repairsystems.com/ksubmit.php/bitcoin_address={bitcoin payment address}&empid={victim ID}&comp={computer name}&ipv4={ victim IP address}&blkk={value}&publ={encryption public key}&priv={encryption private key}
• http://{BLOCKED}repairsystems.com/kretrieve.php/empid={victim ID}&comp={computer name}&ipv4={victim IP address}

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• .iff
• .3fr
• .3gp
• .7z
• .accdb
• .ai
• .arc
• .arw
• .avi
• .bad
• .bay
• .bmp
• .cam
• .cdr
• .cer
• .cineon
• .cr2
• .crt
• .crw
• .csv
• .ctl
• .dat
• .dbf
• .dcr
• .der
• .des
• .dicom
• .dng
• .doc
• .docm
• .docx
• .dsc
• .dwg
• .dxf
• .dxg
• .eps
• .erf
• .fla
• .flv
• .fmb
• .fmt
• .fmx
• .gif
• .hdr
• .html
• .iif
• .img
• .indd
• .jpe
• .jpeg
• .jpg
• .kdc
• .log
• .lst
• .m4v
• .mdb
• .mdf
• .mef
• .mov
• .mpeg
• .mrw
• .nd
• .nef
• .nrw
• .odb
• .odm
• .odp
• .ods
• .odt
• .openexr
• .ora
• .orf
• .p12
• .p7b
• .p7c
• .pbm
• .pck
• .pdd
• .pdf
• .pef
• .pem
• .pfx
• .pgm
• .pic
• .pkb
• .pks
• .plb
• .pls
• .png
• .pot
• .ppm
• .pps
• .ppt
• .pptm
• .pptx
• .prn
• .psb
• .psd
• .pst
• .ptx
• .qba
• .tlg
• .qbm
• .qbr
• .qbw
• .qbw
• .tlg
• .qbx
• .qby
• .qfx
• .r3d
• .raf
• .rar
• .raw
• .rdf
• .rdo
• .rep
• .rex
• .rtf
• .rw2
• .rwl
• .sql
• .srf
• .srw
• .sti
• .sxi
• .tiff
• .txt
• .vdi
• .wb2
• .wpd
• .wps
• .xbm
• .xlk
• .xls
• .xlsb
• .xlsm
• .xlsx
• .xml
• .yaml
• .zip
• .php
• .css
• .asp
• .cpp
• .c
• .js
• .pl
• .perl
• .swf
• .aspx
• .potx
• .potm
• .ppam
• .ppsx
• .ppsm
• .sldx
• .sldm
• .thmx
• .xlam
• .xltm
• .dotm
• .dotx

Benennt verschlüsselte Dateien in folgende Namen um:

• {orginal filename and extension}.encrypted