RANSOM_XORIST.F

Installation

Schleust folgende Dateien/Komponenten ein:

• %User Temp%\{random value}.exe
• %User Profile%\Desktop\READ TO DECRYPTIONS_.txt
• %All Users Profile%\Microsoft\Windows\Start Menu\Programs\Startup\READ TO DECRYPTIONS_.txt
• {folders containing encrypted files}\READ TO DECRYPTIONS_.txt

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Hinterlässt Textdateien, um Lösegeld durch folgenden Inhalt zu erpressen:

• All your data files are crypted.
  To decrypt files and gain access to them,
  please send 0.5 Bitcoin to address
  1G3uZtTUN8J3Wd9iQxft6Xej8BWh5EBHhz
  
  and email to xg9739517395nb@163.com proof
  (screen or TransID) of your payment.
  
  After receiving the money, I will send you
  your password and decrypt instruction via email.

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.rtyrtyrty
(Default) = "VKKYOEBUQZTVGTN"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VKKYOEBUQZTVGTN
(Default) = "CRYPTED!"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VKKYOEBUQZTVGTN\DefaultIcon
(Default) = "%User Temp%\{random value}.exe,0"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VKKYOEBUQZTVGTN\shell\open\
command
(Default) = "%User Temp%\{random value}.exe"

Andere Details

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• *.zip
• *.rar
• *.tar
• *.gzip
• *.jpg
• *.jpeg
• *.psd
• *.cdr
• *.dwg
• *.max
• *.bmp
• *.gif
• *.png
• *.doc
• *.docx
• *.xls
• *.xlsx
• *.ppt
• *.pptx
• *.txt
• *.pdf
• *.djvu
• *.htm
• *.html
• *.mdb
• *.cer
• *.p12
• *.pfx
• *.kwm
• *.pwm
• *.1cd
• *.mdf
• *.dbf
• *.odt
• *.vob
• *.ifo
• *.lnk
• *.torrent
• *.mov
• *.m2v
• *.3gp
• *.mpeg
• *.mpg
• *.flv
• *.avi
• *.mp4
• *.wmv
• *.divx
• *.mkv
• *.mp3
• *.wav
• *.flac
• *.ape
• *.wma
• *.edb
• *.ndf
• *.ldf
• *.vhdx
• *.vhd
• *.vmdk
• *.tis
• *.accdb
• *.iso
• *.wim
• *.WIM
• *.msg
• *.vcf
• *.mbdb
• *.plist
• *.ZIP
• *.RAR
• *.bak
• *.BAK
• *.backup
• *.ldb
• *.QBB
• *.qbb
• *.probkp
• *.mde
• *.sql
• *.SQL
• *.001
• *.002
• *.003
• *.004
• *.005
• *.006
• *.007
• *.008
• *.009
• *.adm
• *.ADM
• *.hsh
• *.sn1
• *.sn2
• *.sn3
• *.sna
• *.spf
• *.report
• *.v2i
• *.bkf
• *.pst
• *.nsf
• *.aspx
• *.flf
• *.900
• *.trp
• *.xtbl
• *.cerber
• *.crypt
• *.bac
• *.CrySiS
• *.ac3

Benennt verschlüsselte Dateien in folgende Namen um:

• {original filename and extension}.rtyrtyrty
• {original filename and extension}.scydbDmbug0182K