RANSOM_CRYPSHOCKER.A

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Installation

Schleust die folgenden Dateien ein:

• %Desktop%\ATTENTION.url -> Ransom Note

(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• http://{BLOCKED}.{BLOCKED}.27.218/crypto.php?crypto={value}

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• .3dm
• .3ds
• .3g2
• .3gp
• .7z
• .accdb
• .ai
• .aif
• .apk
• .app
• .asf
• .asp
• .aspx
• .avi
• .bak
• .bat
• .bin
• .bmp
• .c
• .cbr
• .cer
• .cfg
• .cfm
• .cgi
• .classcpp
• .com
• .crdownload
• .crx
• .cs
• .csr
• .css
• .csv
• .cue
• .dat
• .db
• .dbf
• .dds
• .dem
• .dmg
• .doc
• .docx
• .dtd
• .dwg
• .dxf
• .eps
• .exe
• .fla
• .flv
• .fnt
• .fon
• .gadget
• .gam
• .ged
• .gif
• .gpx
• .gz
• .gz
• .h
• .hqx
• .htm
• .html
• .ics
• .iff
• .ini
• .iso
• .jar
• .java
• .jpeg
• .jpg
• .js
• .jsp
• .key
• .kml
• .kmz
• .log
• .lua
• .m
• .m3u
• .m4a
• .m4v
• .max
• .mdb
• .mdf
• .mid
• .mim
• .mp3
• .mpa
• .mpg
• .msg
• .msi
• .nes
• .obj
• .odt
• .otf
• .part
• .pdb
• .pdf
• .php
• .pif
• .pl
• .plugin
• .png
• .pps
• .ppt
• .pptx
• .prf
• .ps
• .psd
• .pspimage
• .pws
• .py
• .rar
• .rm
• .rom
• .rss
• .rtf
• .sav
• .sdf
• .sh
• .sitx
• .sln
• .sql
• .srt
• .swf
• .tar
• .tar
• .tax2013
• .tax2014
• .tax2015
• .tax2016
• .tex
• .tga
• .thm
• .tif
• .tiff
• .tmp
• .toast
• .torrent
• .ttf
• .txt
• .uue
• .vb
• .vcd
• .vcf
• .vcxproj
• .vob
• .wav
• .wma
• .wmv
• .wpd
• .wsf
• .xhtml
• .xlr
• .xls
• .xlsx
• .xml
• .yuv
• .zip
• .zipx

Benennt verschlüsselte Dateien in folgende Namen um:

• {Original Filename}.locked
  • ie. Sample.txt.locked