RANSOM_CRYPTESLA.YUYAKF
Ransom:Win32/Tescrypt!rfn (Microsoft), Ransomware-FEJ!8163ED7BBFA6 (McAfee)
Windows
Type de grayware:
Trojan
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Détails techniques
Installation
Schleust die folgenden Dateien ein:
- %My Documents%\+recover+file.txt
- %Desktop%\+REcovER+{random}.TXT
- %Desktop%\+REcovER+{random}.PNG
- {folders containing encrypted files}\+REcovER+{random}.png
- {folders containing encrypted files}\+REcovER+{random}.txt
(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %My Documents%\{random filename}.exe
(Note: %My Documents% is usually C:\Documents and Settings\{user name}\My Documents on Windows 2000, XP, and Server 2003, or C:\Users\{user name}\Documents on Windows Vista and 7.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "C:\WINDOWS\SYSTEM32\CMD.EXE /C START "" "%My Documents%\{random filename}.exe""
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_CURRENT_USER\Software\Axronics
HKEY_CURRENT_USER\Software\{ID}
Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLinkedConnections = "1"