Ransom_LOCKY.NIDO

Wird möglicherweise von anderer Malware eingeschleust.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Übertragungsdetails

Wird möglicherweise von der folgenden Malware eingeschleust:

• W2KM_LOCKY.DLDVFT

Wird möglicherweise von den folgenden externen Sites heruntergeladen:

• https://{BLOCKED}n.ru/021ygs7

Installation

Schleust die folgenden Dateien ein:

• {folder of encrypted files}\_{number of folders encrypted}_HOWDO_text.html - ransom note

Schleust die folgenden Dateien ein und führt sie aus:

• %desktop%\_HOWDO_text.html - Ransom note
• %desktop%\_HOWDO_text.bmp - image used as wallpaper

Andere Systemänderungen

Ändert die folgenden Dateien:

• It encrypts files in fixed, removable, RAM disk drives, and network shares.

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = "0"

(Note: The default value data of the said registry entry is {user preference}.)

HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = "0"

(Note: The default value data of the said registry entry is {user preference}.)

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%Desktop%\_HOWDO_text.bmp"

(Note: The default value data of the said registry entry is {user preference}.)

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• http://{Domain Generated Algorithm}.{org, pw, work, biz, xyz, info}/apache_handler.php
• http://{BLOCKED}.{BLOCKED}.83.45/apache_handler.php
• http://{BLOCKED}.{BLOCKED}.14.93/apache_handler.php
• http://{BLOCKED}.{BLOCKED}.52.215/apache_handler.php

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• .001
• .002
• .003
• .004
• .005
• .006
• .007
• .008
• .009
• .010
• .011
• .123
• .3dm
• .3ds
• .3g2
• .3gp
• .602
• .7z
• .ARC
• .CSV
• .DOC
• .DOT
• .MYD
• .MYI
• .NEF
• .PAQ
• .PPT
• .RTF
• .SQLITE3
• .SQLITEDB
• .XLS
• .aes
• .apk
• .asc
• .asf
• .asm
• .asp
• .asset
• .avi
• .bak
• .bat
• .bik
• .bmp
• .brd
• .bsa
• .bz2
• .c
• .cgm
• .class
• .cmd
• .cpp
• .crt
• .cs
• .csr
• .d3dbsp
• .das
• .db
• .dbf
• .dch
• .dif
• .dip
• .djv
• .djvu
• .docb
• .docm
• .docx
• .dotm
• .dotx
• .fla
• .flv
• .forge
• .frm
• .gif
• .gpg
• .gz
• .h
• .hwp
• .ibd
• .iwi
• .jar
• .java
• .jpeg
• .jpg
• .js
• .key
• .lay
• .lay6
• .lbf
• .ldf
• .litemod
• .litesql
• .ltx
• .m3u
• .m4a
• .m4u
• .max
• .mdb
• .mdf
• .mid
• .mkv
• .mml
• .mov
• .mp3
• .mp4
• .mpeg
• .mpg
• .ms11
• .ms11 (Security copy)
• .n64
• .odb
• .odg
• .odp
• .ods
• .odt
• .onetoc2
• .otg
• .otp
• .ots
• .ott
• .p12
• .pas
• .pdf
• .pem
• .php
• .pl
• .png
• .pot
• .potm
• .potx
• .ppam
• .pps
• .ppsm
• .ppsx
• .pptm
• .pptx
• .psd
• .pst
• .qcow2
• .rar
• .raw
• .rb
• .re4
• .sav
• .sch
• .sh
• .sldm
• .sldx
• .slk
• .sql
• .stc
• .std
• .sti
• .stw
• .svg
• .swf
• .sxc
• .sxd
• .sxi
• .sxm
• .sxw
• .tar
• .tbk
• .tgz
• .tif
• .tiff
• .txt
• .uop
• .uot
• .upk
• .vb
• .vbs
• .vdi
• .vmdk
• .vmx
• .vob
• .wav
• .wb2
• .wk1
• .wks
• .wma
• .wmv
• .xlc
• .xlm
• .xlsb
• .xlsm
• .xlsx
• .xlt
• .xltm
• .xltx
• .xlw
• .xml
• .zip
• .wallet
• .wallet.dat

Benennt verschlüsselte Dateien in folgende Namen um:

• {unique ID per victim}-{identifier}.odin