RANSOM_GULCRYPT.A

マルウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

侵入方法

マルウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

• TROJ_CRYPTOP.KLS

マルウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。

• http://{BLOCKED}ail.com/base.rar

インストール

マルウェアは、以下の無害なファイルを作成します。

• C:\tempfile\number.win --> this file contains the password used to archive files, this file is deleted immediately after encryption

マルウェアは、以下のテキストファイルを作成します。

• {Logical Drive}:\+{user name}_files
• C:\tempfile\number.asc --> this file is the PGP encrypted version of C:\tempfile\number.win

マルウェアは、身代金を要求する手紙として、テキストファイルを作成します。このテキストファイルは以下の内容を含んでいます。

• -----BEGIN PGP MESSAGE-----
  Version: 2.6.3i
  {encrypted data from C:\tempfile\number.win using PGP}
  -----END PGP MESSAGE-----
  The files are packed in archives with a password.
  Unpacked - 300 eur
  To unpack the files send two files to email: {BLOCKED}aero@gmail.com
  1) file you are reading now
  2) one packed file (no more than 1 megabyte)
  In response comes the original file and the instruction for money transfer
  (The original file is proof that it is possible to return all files to their original)
  After the transfer bitcoin, you will receive your password to archives.
  Also coming program to automatically unpack files
  Reply to your letter will come within 24 hours.
  If no response comes for more than 24 hours write to reserved e-mail: {BLOCKED}aero@mail2tor.com