TROJ_CRILOCK.YNG

Publish Date: 21 Oktober 2014

Analyse von: RonJay Kristoffer Caragay

Ransom:Win32/Teerac (Microsoft); Trojan-Ransom.Win32.Cryptolocker.cg (Kaspersky); Trojan-Ransom.Win32.Cryptolocker (Ikarus); Win32/Filecoder.DI (ESET-NOD32)

Plattform:

Windows

Risikobewertung (gesamt):

Schadenspotenzial::

Verteilungspotenzial::

reportedInfection:

Trend Micro Lösungen:

Niedrig

Mittel

Hoch

Kritisch

Malware-Typ:
Trojan
Zerstrerisch?:
Nein
Verschlsselt?:
Ja
In the wild::
Ja

Überblick

Infektionsweg: Aus dem Internet heruntergeladen, Spam-Versand per E-Mail

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Technische Details

Dateigröße: 457,216 bytes

Dateityp: EXE

Speicherresiden: Ja

Erste Muster erhalten am: 16 Oktober 2014

Schadteil: Connects to URLs/IPs, Displays message/message boxes

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

%Windows%\{random 8 letters}.exe

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Schleust folgende Dateien/Komponenten ein:

%All Users Profile%\Application Data\{random folder name}\00000000
%All Users Profile%\Application Data\{random folder name}\01000000 ← encrypted copy of itself
%All Users Profile%\Application Data\{random folder name}\02000000
%All Users Profile%\Application Data\{random folder name}\03000000 ← encrypted copy of ransom note
%All Users Profile%\Application Data\{random folder name}\04000000

Fügt die folgenden Prozesse hinzu:

explorer.exe

Injiziert Code in die folgenden Prozesse:

created explorer.exe

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random letters} = "%Windows%\{random 8 letters}.exe"

Datendiebstahl

Folgende Daten werden gesammelt:

Machine GUID
Computer name

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

http://{BLOCKED}pics.ru/topic.php

Verschlüsselt Dateien mit den folgenden Erweiterungen:

wb2
psd
p7c
p7b
p12
pfx
pem
crt
cer
der
pl
py
lua
css
js
asp
php
incpas
asm
hpp
h
cpp
c
7z
zip
rar
drf
blend
apj
3ds
dwg
sda
ps
pat
fxg
fhd
fh
dxb
drw
design
ddrw
ddoc
dcs
csl
csh
cpi
cgm
cdx
cdrw
cdr6
cdr5
cdr4
cdr3
cdr
awg
ait
ai
agd1
ycbcra
x3f
stx
st8
st7
st6
st5
st4
srw
srf
sr2
sd1
sd0
rwz
rwl
rw2
raw
raf
ra2
ptx
pef
pcd
orf
nwb
nrw
nop
nef
ndd
mrw
mos
mfw
mef
mdc
kdc
kc2
iiq
gry
grey
gray
fpx
fff
exf
erf
dng
dcr
dc2
crw
craw
cr2
cmt
cib
ce2
ce1
arw
3pr
3fr
mpg
jpeg
jpg
mdb
sqlitedb
sqlite3
sqlite
sql
sdf
sav
sas7bdat
s3db
rdb
psafe3
nyf
nx2
nx1
nsh
nsg
nsf
nsd
ns4
ns3
ns2
myd
kpdx
kdbx
idx
ibz
ibd
fdb
erbsql
db3
dbf
db-journal
db
cls
bdb
al
adb
backupdb
bik
backup
bak
bkp
moneywell
mmw
ibank
hbk
ffd
dgc
ddd
dac
cfp
cdf
bpw
bgt
acr
ac2
ab4
djvu
pdf
sxm
odf
std
sxd
otg
sti
sxi
otp
odg
odp
stc
sxc
ots
ods
sxg
stw
sxw
odm
oth
ott
odt
odb
csv
rtf
accdr
accdt
accde
accdb
sldm
sldx
ppsm
ppsx
ppam
potm
potx
pptm
pptx
pps
pot
ppt
xlw
xll
xlam
xla
xlsb
xltm
xltx
xlsm
xlsx
xlm
xlt
xls
xml
dotm
dotx
docm
docx
dot
doc
txt

Benennt verschlüsselte Dateien in folgende Namen um:

{original file name and extension}.encrypted

Lösungen

Mindestversion der Scan Engine: 9.700

Erste VSAPI Pattern-Datei: 11.216.08

Erste VSAPI Pattern veröffentlicht am: 16 Oktober 2014

VSAPI OPR Pattern-Version: 11.217.00

VSAPI OPR Pattern veröffentlicht am: 16 Oktober 2014

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 3

Im abgesicherten Modus neu starten

[ learnMore ]

Step 4

Diesen Registrierungswert löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- {random letters} = "%Windows%\{random 8 letters}.exe"

Step 5

Diese Datei suchen und löschen

[ learnMore ]

Möglicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Dateien und Ordner in den Suchergebnissen zu berücksichtigen.

%All Users Profile%\Application Data\{random folder name}\00000000
%All Users Profile%\Application Data\{random folder name}\01000000
%All Users Profile%\Application Data\{random folder name}\02000000
%All Users Profile%\Application Data\{random folder name}\03000000
%All Users Profile%\Application Data\{random folder name}\04000000
DECRYPT_INSTRUCTIONS.html

Step 6

Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als TROJ_CRILOCK.YNG entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.

Nehmen Sie an unserer Umfrage teil

TROJ_CRILOCK.YNG

Überblick

Technische Details

Lösungen

Verwandte Blog-Einträge

Ressourcen

Support

Über Trend

Hauptniederlassung DACH

TROJ_CRILOCK.YNG

Überblick

Technische Details

Lösungen

Verwandte Blog-Einträge

Ressourcen

Support

Über Trend

Hauptniederlassung DACH

Nord-, Mittel- und Südamerika

Naher Osten und Afrika

Europa

Asien-Pazifik