RANSOM_ZCRYPT.A

Um einen Überblick über das Verhalten dieser Worm zu erhalten, verwenden Sie das unten gezeigte Bedrohungsdiagramm.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %Application Data%\zcrypt.exe -> attributes are set to Hidden and System

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein:

• %Application Data%\btc.addr -> Bitcoin Address
• %Application Data%\cid.ztxt -> contains the victim's ID
• %Application Data%\public.key -> public key
• %Application Data%\private.key -> private key

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• zcrypt1.0

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
zcrypt = {path of the executed malware}

Schleust die folgenden Dateien ein:

• {Removable Drive Letter}:\autorun.inf

Schleust die folgenden Dateien in den Autostart-Ordner von Windows ein, um sich selbst bei jedem Systemstart auszuführen.

• %User Startup%\zcrypt.lnk -> Shortcut file for the executed malware

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)

Verbreitung

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

• {Removable Drive Letter}:\System.exe -> attribute is set to Hidden

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• http://{BLOCKED}rewq.ml/rsa/rsa.php?computerid={victim ID}&public=1

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• .3fr
• .accdb
• .apk
• .arw
• .aspx
• .avi
• .bak
• .bay
• .bmp
• .cdr
• .cer
• .cgi
• .class
• .cpp
• .cr2
• .crt
• .crw
• .dbf
• .dcr
• .der
• .dng
• .doc
• .docx
• .dwg
• .dxg
• .emlx
• .eps
• .erf
• .gz
• .html
• .indd
• .jar
• .java
• .jpeg
• .jpg
• .jsp
• .kdc
• .log
• .mdb
• .mdf
• .mef
• .mp4
• .mpeg
• .msg
• .nrw
• .odb
• .odp
• .ods
• .odt
• .orf
• .p12
• .p7b
• .p7c
• .pdb
• .pdd
• .pdf
• .pef
• .pem
• .pfx
• .php
• .png
• .ppt
• .pptx
• .psd
• .pst
• .ptx
• .r3d
• .raf
• .raw
• .rtf
• .rw2
• .rwl
• .sav
• .sql
• .srf
• .srw
• .swf
• .tar
• .tar
• .txt
• .vcf
• .wb2
• .wmv
• .wpd
• .xls
• .xlsx
• .xml
• .zip

Benennt verschlüsselte Dateien in folgende Namen um:

• {original filename}.zcrypt