RANSOM_LOCKY.FC

Verbindet sich mit einer Website, um Daten zu versenden und zu empfangen.

Ändert Zoneneinstellungen von Internet Explorer.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %User Temp%\svchost.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Schleust folgende Komponentendateien ein:

• %Desktop%\_HELP_instructions.txt - ransom note
• %Desktop%\_HELP_instructions.bmp - image used as wallpaper
• {folders containing encrypted files}\_HELP_instructions.txt - ransom note

(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Locky = "%User Temp%\svchost.exe"

Andere Systemänderungen

Ändert die folgenden Dateien:

• It encrypts files in fixed, removable and RAM disk drives.
• It renames the encrypted files to {unique ID per victim}{identifier}.locky

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%Desktop%\_HELP_instructions.bmp"

Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER\Software\{random characters}

Backdoor-Routine

Verbindet sich mit den folgenden Websites, um Daten zu versenden und zu empfangen.

• http://{BLOCKED}.{BLOCKED}.40.47/userinfo.php
• http://{BLOCKED}.{BLOCKED}.182.103/userinfo.php
• http://{pseudo-random domain}.{xyz/click/info/work/biz/su/ru}

Änderung der Startseite von Webbrowser und Suchseite

Ändert Zoneneinstellungen von Internet Explorer.

Andere Details

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• .3dm
• .3ds
• .3g2
• .3gp
• .7z
• .aes
• .apk
• .ARC
• .asc
• .asf
• .asm
• .asp
• .asset
• .avi
• .bak
• .bat
• .bik
• .bmp
• .brd
• .bsa
• .bz2
• .c
• .cgm
• .class
• .cmd
• .cpp
• .crt
• .cs
• .csr
• .CSV
• .d3dbsp
• .das
• .dat
• .db
• .dbf
• .dch
• .dif
• .dip
• .djv
• .djvu
• .DOC
• .docb
• .docm
• .docx
• .DOT
• .dotm
• .dotx
• .fla
• .flv
• .forge
• .frm
• .gif
• .gpg
• .gz
• .h
• .hwp
• .ibd
• .iwi
• .jar
• .java
• .jpeg
• .jpg
• .js
• .keywallet
• .lay
• .lay6
• .lbf
• .ldf
• .litemod
• .litesql
• .ltx
• .m3u
• .m4a
• .m4u
• .max
• .mdb
• .mdf
• .mid
• .mkv
• .mml
• .mov
• .mp3
• .mp4
• .mpeg
• .mpg
• .ms11
• .ms11 (Security copy)
• .MYD
• .MYI
• .n64
• .NEF
• .odb
• .odg
• .odp
• .ods
• .odt
• .onetoc2
• .otg
• .otp
• .ots
• .ott
• .p12
• .PAQ
• .pas
• .pdf
• .pem
• .php
• .pl
• .png
• .pot
• .potm
• .potx
• .ppam
• .pps
• .ppsm
• .ppsx
• .PPT
• .pptm
• .pptx
• .psd
• .pst
• .qcow2
• .rar
• .raw
• .rb
• .re4
• .RTF
• .sav
• .sch
• .sh
• .sldm
• .sldx
• .slk
• .sql
• .SQLITE3
• .SQLITEDB
• .stc
• .std
• .sti
• .stw
• .svg
• .swf
• .sxc
• .sxd
• .sxi
• .sxm
• .sxw
• .tar
• .tar
• .tbk
• .tgz
• .tif
• .tiff
• .txt
• .uop
• .uot
• .upk
• .vb
• .vbs
• .vdi
• .vmdk
• .vmx
• .vob
• .wallet
• .wav
• .wb2
• .wk1
• .wks
• .wma
• .wmv
• .xlc
• .xlm
• .XLS
• .xlsb
• .xlsm
• .xlsx
• .xlt
• .xltm
• .xltx
• .xlw
• .xml
• .zip