RANSOM_CRYPTESLA.YUYAKE
Windows
Type de grayware:
Trojan
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Détails techniques
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %My Documents%\{random filename}.exe
(Note: %My Documents% is usually C:\Documents and Settings\{user name}\My Documents on Windows 2000, XP, and Server 2003, or C:\Users\{user name}\Documents on Windows Vista and 7.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "%My Documents%\{random filename}.exe"
Andere Systemänderungen
Ändert die folgenden Dateien:
- It encrypts files in all fixed, removable, and network drives and shares.
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_CURRENT_USER\Software\Axronics
HKEY_CURRENT_USER\Software\{ID}
Fügt die folgenden Registrierungseinträge hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLinkedConnections = "1"
HKEY_CURRENT_USER\Software\{ID}
data = "{random values}"
Einschleusungsroutine
Schleust die folgenden Dateien ein:
- %My Documents%\+recover+file.txt
- %Desktop%\+REcovER+{random}.TXT
- %Desktop%\+REcovER+{random}.PNG
- {folders containing encrypted files}\+REcovER+{random}.png
- {folders containing encrypted files}\+REcovER+{random}.txt
(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)