RANSOM_CRYPTESLA.YSIM
Ransom:Win32/Tescrypt!rfn (Microsoft), Ransom.FileCryptor (Malwarebytes)Trojan/Win32.Teslacrypt (AhnLab-V3)
Windows
Type de grayware:
Trojan
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Ändert Zoneneinstellungen von Internet Explorer.
Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.
Détails techniques
Installation
Schleust die folgenden Dateien ein und führt sie aus:
- %Application Data%\{5 random letters}-a.exe
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
askjhfaskewrtewtertwert123 = %Application Data%\{5 random letters}-a.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
askjhfaskewrtewtertwert123 = %Application Data%\{5 random letters}-a.exe
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_CURRENT_USER\Software\zsys
HKEY_CURRENT_USER\Software\{installation ID}
Fügt die folgenden Registrierungseinträge hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnabledLinkConnections = 1
HKEY_CURRENT_USER\Software\{installation ID}
data = {encryption information}
HKEY_CURRENT_USER\Software\zsys
ID = {installation ID}
Änderung der Startseite von Webbrowser und Suchseite
Ändert Zoneneinstellungen von Internet Explorer.
Einschleusungsroutine
Schleust die folgenden Dateien ein:
- %User Profile%\Documents\recover_file_{random letters}.txt
- %Desktop%\howto_recover_file_{random letters}.txt
- %Desktop%\howto_recover_file_{random letters}.html
- %Desktop%\howto_recover_file_{random letters}.bmp
(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)
Andere Details
Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:
- http://{BLOCKED}control.com/exporterofgiftitems.com/wp-admin/misc.php?{data}
- http://{BLOCKED}cam.com/wp-content/themes/twentythirteen/misc.php?{data}
- http://{BLOCKED}hthaidieplonghong.com.vn/misc.php?{data}
- http://{BLOCKED}tfilma.com/modules/misc.php?{data}
- http://{BLOCKED}mfort.com/modules/misc.php?{data}
- http://{BLOCKED}nect.it/misc.php?{data}
Öffnet die folgenden Dateien:
- dropped %Desktop%\howto_recover_file_{random letters}.txt
- dropped %Desktop%\howto_recover_file_{random letters}.html
- dropped %Desktop%\howto_recover_file_{random letters}.bmp
(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)