RANSOM_CRYPJACKY.A

Installation

Schleust die folgenden Dateien ein:

• %Application Data%\r_tool\ransomware-c.exe
• %Application Data%\r_tool\aescrypt.exe - aes encryptor
• %Application Data%\r_tool\cts-input.vbs - Password input window, executes ransomware-d.cmd
• %Application Data%\r_tool\cts-input_error.vbs - Incorrect password window
• %Application Data%\r_tool\file_extensions.txt - file extensions to be encrypted
• %Application Data%\r_tool\ransom-information.vbs - ransom information note
• %Application Data%\r_tool\ransom-instructions.vbs - note on how to pay ransom
• %Application Data%\r_tool\ransom-thanks.vbs - successful decryption note
• %Application Data%\r_tool\ransomware-d.cmd - contains decryptor
• %User Temp%\{4 random characters}.tmp\{4 random characters}.bat - contains encryption commands
• %Desktop%\ransom-instructions.lnk - points to ransom-instructions.vbs
• %Desktop%\ransom of files.lnk - points to cts-input.vbs
• %Desktop%\ransom-payment.url- contains urls

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.. %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)

Andere Details

Benennt verschlüsselte Dateien in folgende Namen um:

• {Original filename and extension}.aes