TROJ_CRYPTLOCK.G

Publish Date: 11 novembre 2014

Analysé par: Rika Joi Gregorio

Ransom:Win32/Teerac.A(Microsoft), PWSZbot-FAFA!CFDAE3A82CBD(McAfee), a variant of Win32/Kryptik.COVQ trojan(Eset)

Plate-forme:

Windows

Overall Risk:

Dommages potentiels: :

Distribution potentielle: :

reportedInfection:

Information Exposure Rating::

Faible

Medium

Élevé

Critique

Type de grayware:
Trojan
Destructif:
Non
Chiffrement:
Oui
In the wild::
Oui

Overview

Voie d'infection: Aus dem Internet heruntergeladen

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Détails techniques

File size: 472,064 bytes

File type: EXE

Memory resident: Oui

Date de réception des premiers échantillons: 31 octobre 2014

Charge malveillante: Connects to URLs/IPs, Steals information, Displays message/message boxes

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

%All Users Profile%\Application Data\{random folder name}\01000000
%Windows%\{random 8 letters}.exe

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Schleust folgende Dateien/Komponenten ein:

%All Users Profile%\Application Data\{random folder name}\02000000
%All Users Profile%\Application Data\{random folder name}\00000000

Fügt die folgenden Prozesse hinzu:

explorer.exe

Erstellt die folgenden Ordner:

%All Users Profile%\Application Data\{random folder name}

Injiziert Code in die folgenden Prozesse:

created explorer.exe

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random 8 letters} = "%Windows%\{random 8 letters}.exe"

Datendiebstahl

Folgende Daten werden gesammelt:

Machine GUID
Computer name

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

https://{BLOCKED}happy.ru/topic.php

Verschlüsselt Dateien mit den folgenden Erweiterungen:

3ds
3fr
3pr
7z
ab4
ac2
accdb
accde
accdr
accdt
acr
adb
agd1
ai
ait
al
apj
arw
asm
asp
awg
backup
backupdb
bak
bdb
bgt
bik
bkp
blend
bpw
cdf
cdr
cdr3
cdr4
cdr5
cdr6
cdrw
cdx
ce1
ce2
cer
cfp
cgm
cib
cls
cmt
cpi
cpp
cr2
craw
crt
crw
csh
csl
css
csv
dac
db
db-journal
db3
dbf
dc2
dcr
dcs
ddd
ddoc
ddrw
der
design
dgc
djvu
dng
doc
docm
docx
dot
dotm
dotx
drf
drw
dwg
dxb
erbsql
erf
exf
fdb
ffd
fff
fh
fhd
fpx
fxg
gray
grey
gry
hbk
hpp
ibank
ibd
ibz
idx
iiq
incpas
jpeg
jpg
js
kc2
kdbx
kdc
kpdx
lua
mdb
mdc
mef
mfw
mmw
moneywell
mos
mpg
mrw
myd
ndd
nef
nop
nrw
ns2
ns3
ns4
nsd
nsf
nsg
nsh
nwb
nx1
nx2
nyf
odb
odf
odg
odm
odp
ods
odt
orf
otg
oth
otp
ots
ott
p12
p7b
p7c
pat
pcd
pdf
pef
pem
pfx
php
pl
pot
potm
potx
ppam
pps
ppsm
ppsx
ppt
pptm
pptx
ps
psafe3
psd
ptx
py
ra2
raf
rar
raw
rdb
rtf
rw2
rwl
rwz
s3db
sas7bdat
sav
sd0
sd1
sda
sdf
sldm
sldx
sql
sqlite
sqlite3
sqlitedb
sr2
srf
srw
st4
st5
st6
st7
st8
stc
std
sti
stw
stx
sxc
sxd
sxg
sxi
sxm
sxw
txt
wb2
x3f
xla
xlam
xll
xlm
xls
xlsb
xlsm
xlsx
xlt
xltm
xltx
xlw
xml
ycbcra
zip

Benennt verschlüsselte Dateien in folgende Namen um:

{original file name and extension}.encrypted

Solutions

Moteur de scan minimum: 9.700

First VSAPI Pattern File: 11.258.01

First VSAPI Pattern Release Date: 05 novembre 2014

VSAPI OPR Pattern Version: 11.259.00

VSAPI OPR Pattern Release Date: 06 novembre 2014

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 3

Im abgesicherten Modus neu starten

[ learnMore ]

Step 4

Diesen Registrierungswert löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {random 8 letters} = "%Windows%\{random 8 letters}.exe"

Step 5

Diese Ordner suchen und löschen

[ learnMore ]

Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu berücksichtigen.

%All Users Profile%\Application Data\{random folder name}

Step 6

Diese Dateien suchen und löschen

[ learnMore ]

Möglicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter "Weitere erweiterte Optionen", um alle verborgenen Dateien und Ordner in den Suchergebnissen zu berücksichtigen.

DECRYPT_INSTRUCTIONS.html

DATA_GENERIC_FILENAME_1

Wählen Sie im Listenfeld lt;i>Suchen in die Option Arbeitsplatz, und drücken Sie die Eingabetaste.

Markieren Sie die gefundene Datei, und drücken Sie UMSCHALT+ENTF, um sie endgültig zu löschen.

Wiederholen Sie die Schritte 2 bis 4 für die übrigen Dateien: DECRYPT_INSTRUCTIONS.html

Step 7

Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als TROJ_CRYPTLOCK.G entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.

Participez à notre enquête!

TROJ_CRYPTLOCK.G

Overview

Détails techniques

Solutions

Ressources

Support

À propos de Trend

Siège social national

TROJ_CRYPTLOCK.G

Overview

Détails techniques

Solutions

Ressources

Support

À propos de Trend

Siège social national

Amérique

Moyen-Orient et Afrique

Europe

Asie-Pacifique