TROJ_CRIBIT.B

Um einen Überblick über das Verhalten dieser Trojan zu erhalten, verwenden Sie das unten gezeigte Bedrohungsdiagramm.

Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen.

Übertragungsdetails

Wird möglicherweise von der folgenden Malware/Grayware/Spyware von externen Sites heruntergeladen:

• TSPY_FAREIT.BB

Wird möglicherweise von folgenden Remote-Sites heruntergeladen:

• http://{BLOCKED}directory.com/file/win.exe

Installation

Schleust folgende Komponentendateien ein:

• %Application Data%\BitCrypt.txt - contains ransom message
• %Application Data%\BitCrypt.bmp - used as wallpaper
• %Application Data%\bitcrypt.ccw - configuration file

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %Application Data%\{random filename}.exe - deleted after encryption routine

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Hinterlässt Textdateien, um Lösegeld durch folgenden Inhalt zu erpressen:

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Bitcomint = "%Application Data%\{random filename}.exe" (This is deleted after the malware successfully encrypted user's files)

Andere Systemänderungen

Löscht die folgenden Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Network

Stellt auf dem System das folgende Bild als Desktop-Hintergrundbild ein:

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• taskmgr.exe
• regedit.exe

Andere Details

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• *.dbf
• *.mdb
• *.mde
• *.xls
• *.xlw
• *.docx
• *.doc
• *.cer
• *.key
• *.rtf
• *.xlsm
• *.xlsx
• *.txt
• *.xlc
• *.docm
• *.xlk
• *.text
• *.ppt
• *.djvu
• *.pdf
• *.lzo
• *.djv
• *.cdx
• *.cdt
• *.cdr
• *.bpg
• *.xfm
• *.dfm
• *.pas
• *.dpk
• *.dpr
• *.frm
• *.vbp
• *.php
• *.js
• *.wri
• *.css
• *.asm
• *.jpg
• *.jpeg
• *.dbx
• *.dbt
• *.odc
• *.sql
• *.abw
• *.pab
• *.vsd
• *.xsf
• *.xsn
• *.pps
• *.lzh
• *.pgp
• *.arj
• *.gz
• *.pst
• *.xl