Analysé par: Pearl Charlaine Espejo   
 

Ransom:Win32/Criakl.D (Microsoft); Trojan-Ransom.Win32.Gimemo.cboz (Kaspersky); Trojan[Ransom]/Win32.Cryakl (Antiy-AVL); Trojan/Win32.Criakl (AhnLab-V3)

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
 Information Exposure Rating::
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Trojan

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Voie d'infection: Aus dem Internet heruntergeladen

Ändert Zoneneinstellungen von Internet Explorer.

  Détails techniques

File size: 659,968 bytes
File type: EXE
Memory resident: Non
Date de réception des premiers échantillons: 30 novembre 2015
Charge malveillante: Displays graphics/image, Connects to URLs/IPs, Steals information, Encrypts files

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

  • %Program Files%\1C\{malware file name}.{malware file extension}
  • %User Temp%\1C\{malware file name}.{malware file extension}

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein:

  • %Program Files%\1C\{random filename}.(random file extension}
  • %User Temp%\1C\desk.bmp
  • %User Temp%\1C\desk.jpg

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
pr = "%Program Files%\1C\{malware file name}.{malware file extension}"

Andere Systemänderungen

Ändert die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\Control Panel\Desktop
TileWallpaper = "0"

(Note: The default value data of the said registry entry is "{User Preference}".)

HKEY_LOCAL_MACHINE\Control Panel\Desktop
Wallpaper = "%User Temp%\1C\desk.bmp"

(Note: The default value data of the said registry entry is "{User Preference}".)

Änderung der Startseite von Webbrowser und Suchseite

Ändert Zoneneinstellungen von Internet Explorer.

Andere Details

Benennt verschlüsselte Dateien in folgende Namen um:

  • email-{BLOCKED}ivanov34@aol.com.ver-CL 1.2.0.0.id-{value}-{time stamp}{value}.randomname-{value}.cbf

  Solutions

Moteur de scan minimum: 9.800
Participez à notre enquête!