RANSOM_LOCKY.PUY

Um einen Überblick über das Verhalten dieser Trojan zu erhalten, verwenden Sie das unten gezeigte Bedrohungsdiagramm.

Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Übertragungsdetails

Wird möglicherweise von der folgenden Malware/Grayware/Spyware von externen Sites heruntergeladen:

• TROJ_LOCKY.DLDRA

Wird möglicherweise von folgenden Remote-Sites heruntergeladen:

• http://our.{BLOCKED}hasanjay.com.np/bg.gif

Installation

Schleust die folgenden Dateien ein:

• %Desktop%\_HELP_instructions.txt - ransom note
• %Desktop%\_HELP_instructions.bmp - image used as wallpaper
• {folders containing encrypted files}\_HELP_instructions.txt - ransom note

(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %User Temp%\svchost.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Locky = "%User Temp%\svchost.exe"

Andere Systemänderungen

Ändert die folgenden Dateien:

• It encrypts files in fixed, removable and RAM disk drives.
• It renames the encrypted files to {unique ID per victim}{identifier}.locky

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%Desktop%\_HELP_instructions.bmp"

Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER\Software\{random characters}

Stellt auf dem System das folgende Bild als Desktop-Hintergrundbild ein:

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• http://{BLOCKED}.{BLOCKED}.181.164/submit.php
• http://{BLOCKED}.{BLOCKED}.119.177/submit.php
• {Domain Generated Algorithm}.{ru, info, biz, work, pl ,org, pw, xyz}

  It sends the following information in encrypted form:id={victim ID}&act={getkey, gettext, stats}&affid={affiliate ID}&lang={computer language}&corp={value}&serv={value}&os={operating system}&sp={service pack}&x64={0,1}

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• .n64
• .m4u
• .m3u
• .mid
• .wma
• .flv
• .3g2
• .mkv
• .3gp
• .mp4
• .mov
• .avi
• .asf
• .mpeg
• .vob
• .mpg
• .wmv
• .fla
• .swf
• .wav
• .mp3
• .qcow2
• .vdi
• .vmdk
• .vmx
• .gpg
• .aes
• .ARC
• .PAQ
• .tar
• .bz2
• .tbk
• .bak
• .tar
• .tgz
• .gz
• .7z
• .rar
• .zip
• .djv
• .djvu
• .svg
• .bmp
• .png
• .gif
• .raw
• .cgm
• .jpeg
• .jpg
• .tif
• .tiff
• .NEF
• .psd
• .cmd
• .bat
• .sh
• .class
• .jar
• .java
• .rb
• .asp
• .cs
• .brd
• .sch
• .dch
• .dip
• .pl
• .vbs
• .vb
• .js
• .h
• .asm
• .pas
• .cpp
• .c
• .php
• .ldf
• .mdf
• .ibd
• .MYI
• .MYD
• .frm
• .odb
• .dbf
• .db
• .mdb
• .sql
• .SQLITEDB
• .SQLITE3
• .011
• .010
• .009
• .008
• .007
• .006
• .005
• .004
• .003
• .002
• .001
• .pst
• .onetoc2
• .asc
• .lay6
• .lay
• .ms11
• .sldm
• .sldx
• .ppsm
• .ppsx
• .ppam
• .docb
• .mml
• .sxm
• .otg
• .odg
• .uop
• .potx
• .potm
• .pptx
• .pptm
• .std
• .sxd
• .pot
• .pps
• .sti
• .sxi
• .otp
• .odp
• .wb2
• .123
• .wks
• .wk1
• .xltx
• .xltm
• .xlsx
• .xlsm
• .xlsb
• .slk
• .xlw
• .xlt
• .xlm
• .xlc
• .dif
• .stc
• .sxc
• .ots
• .ods
• .hwp
• .602
• .dotm
• .dotx
• .docm
• .docx
• .DOT
• .3dm
• .max
• .3ds
• .xml
• .txt
• .CSV
• .uot
• .RTF
• .pdf
• .XLS
• .PPT
• .stw
• .sxw
• .ott
• .odt
• .DOC
• .pem
• .p12
• .csr
• .crt
• .key
• wallet.dat