TROJ_CRILOCK.SER

Verbindet sich mit einer Website, um Daten zu versenden und zu empfangen. However, as of this writing, the said sites are inaccessible.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %WINDOWS%\{random filename}.exe

Schleust folgende Dateien/Komponenten ein:

• %All Users Profile%\%Application Data%\{random folder name}\03000000 ← encrypted copy of ransom note
• %All Users Profile%\%Application Data%\{random folder name}\04000000
• %All Users Profile%\%Application Data%\{random folder name}\01000000 - encrypted copy of itself
• %All Users Profile%\%Application Data%\{random folder name}\02000000
• %All Users Profile%\%Application Data%\{random folder name}\00000000

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

• explorer.exe

Injiziert Code in die folgenden Prozesse:

• added explorer.exe

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random letters} = "%Windows%\{random filename}.exe"

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter
EnabledV9 = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter
EnabledV8 = "0"

Backdoor-Routine

Verbindet sich mit den folgenden Websites, um Daten zu versenden und zu empfangen.

• http://{BLOCKED}raje.ru/topic.php

However, as of this writing, the said sites are inaccessible.

Datendiebstahl

Folgende Daten werden gesammelt:

• Machine GUID
• Computer name

Andere Details

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• wb2
• psd
• p7c
• p7b
• p12
• pfx
• pem
• crt
• cer
• der
• pl
• py
• lua
• css
• js
• asp
• php
• incpas
• asm
• hpp
• h
• cpp
• c
• 7z
• zip
• rar
• drf
• blend
• apj
• 3ds
• dwg
• sda
• ps
• pat
• fxg
• fhd
• fh
• dxb
• drw
• design
• ddrw
• ddoc
• dcs
• csl
• csh
• cpi
• cgm
• cdx
• cdrw
• cdr6
• cdr5
• cdr4
• cdr3
• cdr
• awg
• ait
• ai
• agd1
• ycbcra
• x3f
• stx
• st8
• st7
• st6
• st5
• st4
• srw
• srf
• sr2
• sd1
• sd0
• rwz
• rwl
• rw2
• raw
• raf
• ra2
• ptx
• pef
• pcd
• orf
• nwb
• nrw
• nop
• nef
• ndd
• mrw
• mos
• mfw
• mef
• mdc
• kdc
• kc2
• iiq
• gry
• grey
• gray
• fpx
• fff
• exf
• erf
• dng
• dcr
• dc2
• crw
• craw
• cr2
• cmt
• cib
• ce2
• ce1
• arw
• 3pr
• 3fr
• mpg
• jpeg
• jpg
• mdb
• sqlitedb
• sqlite3
• sqlite
• sql
• sdf
• sav
• sas7bdat
• s3db
• rdb
• psafe3
• nyf
• nx2
• nx1
• nsh
• nsg
• nsf
• nsd
• ns4
• ns3
• ns2
• myd
• kpdx
• kdbx
• idx
• ibz
• ibd
• fdb
• erbsql
• db3
• dbf
• db-journal
• db
• cls
• bdb
• al
• adb
• backupdb
• bik
• backup
• bak
• bkp
• moneywell
• mmw
• ibank
• hbk
• ffd
• dgc
• ddd
• dac
• cfp
• cdf
• bpw
• bgt
• acr
• ac2
• ab4
• djvu
• pdf
• sxm
• odf
• std
• sxd
• otg
• sti
• sxi
• otp
• odg
• odp
• stc
• sxc
• ots
• ods
• sxg
• stw
• sxw
• odm
• oth
• ott
• odt
• odb
• csv
• rtf
• accdr
• accdt
• accde
• accdb
• sldm
• sldx
• ppsm
• ppsx
• ppam
• potm
• potx
• pptm
• pptx
• pps
• pot
• ppt
• xlw
• xll
• xlam
• xla
• xlsb
• xltm
• xltx
• xlsm
• xlsx
• xlm
• xlt
• xls
• xml
• dotm
• dotx
• docm
• docx
• dot
• doc
• txt
• wb2
• psd
• p7c
• p7b
• p12
• pfx
• pem
• crt
• cer
• der
• pl
• py
• lua
• css
• js
• asp
• php
• incpas
• asm
• hpp
• h
• cpp
• c
• 7z
• zip
• rar
• drf
• blend
• apj
• 3ds
• dwg
• sda
• ps
• pat
• fxg
• fhd
• fh
• dxb
• drw
• design
• ddrw
• ddoc
• dcs
• csl
• csh
• cpi
• cgm
• cdx
• cdrw
• cdr6
• cdr5
• cdr4
• cdr3
• cdr
• awg
• ait
• ai
• agd1
• ycbcra
• x3f
• stx
• st8
• st7
• st6
• st5
• st4
• srw
• srf
• sr2
• sd1
• sd0
• rwz
• rwl
• rw2
• raw
• raf
• ra2
• ptx
• pef
• pcd
• orf
• nwb
• nrw
• nop
• nef
• ndd
• mrw
• mos
• mfw
• mef
• mdc
• kdc
• kc2
• iiq
• gry
• grey
• gray
• fpx
• fff
• exf
• erf
• dng
• dcr
• dc2
• crw
• craw
• cr2
• cmt
• cib
• ce2
• ce1
• arw
• 3pr
• 3fr
• mpg
• jpeg
• jpg
• mdb
• sqlitedb
• sqlite3
• sqlite
• sql
• sdf
• sav
• sas7bdat
• s3db
• rdb
• psafe3
• nyf
• nx2
• nx1
• nsh
• nsg
• nsf
• nsd
• ns4
• ns3
• ns2
• myd
• kpdx
• kdbx
• idx
• ibz
• ibd
• fdb
• erbsql
• db3
• dbf
• db-journal
• db
• cls
• bdb
• al
• adb
• backupdb
• bik
• backup
• bak
• bkp
• moneywell
• mmw
• ibank
• hbk
• ffd
• dgc
• ddd
• dac
• cfp
• cdf
• bpw
• bgt
• acr
• ac2
• ab4
• djvu
• pdf
• sxm
• odf
• std
• sxd
• otg
• sti
• sxi
• otp
• odg
• odp
• stc
• sxc
• ots
• ods
• sxg
• stw
• sxw
• odm
• oth
• ott
• odt
• odb
• csv
• rtf
• accdr
• accdt
• accde
• accdb
• sldm
• sldx
• ppsm
• ppsx
• ppam
• potm
• potx
• pptm
• pptx
• pps
• pot
• ppt
• xlw
• xll
• xlam
• xla
• xlsb
• xltm
• xltx
• xlsm
• xlsx
• xlm
• xlt
• xls
• xml
• dotm
• dotx
• docm
• docx
• dot
• doc
• txt

Benennt verschlüsselte Dateien in folgende Namen um:

• {original file name and extension}.encrypted