RANSOM_CRYPTESLA.YSIM

Ändert Zoneneinstellungen von Internet Explorer.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Installation

Schleust die folgenden Dateien ein und führt sie aus:

• %Application Data%\{5 random letters}-a.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
askjhfaskewrtewtertwert123 = %Application Data%\{5 random letters}-a.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
askjhfaskewrtewtertwert123 = %Application Data%\{5 random letters}-a.exe

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\zsys

HKEY_CURRENT_USER\Software\{installation ID}

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnabledLinkConnections = 1

HKEY_CURRENT_USER\Software\{installation ID}
data = {encryption information}

HKEY_CURRENT_USER\Software\zsys
ID = {installation ID}

Änderung der Startseite von Webbrowser und Suchseite

Ändert Zoneneinstellungen von Internet Explorer.

Einschleusungsroutine

Schleust die folgenden Dateien ein:

• %User Profile%\Documents\recover_file_{random letters}.txt
• %Desktop%\howto_recover_file_{random letters}.txt
• %Desktop%\howto_recover_file_{random letters}.html
• %Desktop%\howto_recover_file_{random letters}.bmp

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• http://{BLOCKED}control.com/exporterofgiftitems.com/wp-admin/misc.php?{data}
• http://{BLOCKED}cam.com/wp-content/themes/twentythirteen/misc.php?{data}
• http://{BLOCKED}hthaidieplonghong.com.vn/misc.php?{data}
• http://{BLOCKED}tfilma.com/modules/misc.php?{data}
• http://{BLOCKED}mfort.com/modules/misc.php?{data}
• http://{BLOCKED}nect.it/misc.php?{data}

Öffnet die folgenden Dateien:

• dropped %Desktop%\howto_recover_file_{random letters}.txt
• dropped %Desktop%\howto_recover_file_{random letters}.html
• dropped %Desktop%\howto_recover_file_{random letters}.bmp

(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)