TROJ_CRYPCTB.YWE

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

• %User Temp%\{random filename}.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein:

• %ProgramData%\{randomly selected folder}\{random filename} (Windows Vista and above)
• %All Users Profile%\Application Data\{randomly selected folder}\{random filename} (Windows XP and below)
• %All Users Profile%\{random filename}.html (Windows Vista and above)
• %ProgramData%\{random filename}.html (Windows Vista and above)
• %All Users Profile%\Application Data\{random filename}.html (Windows XP and below)
• %User Profile%\Documents\!Decrypt-All-Files-{random 7 characters}.bmp (Windows Vista and above)
• %User Profile%\My Documents\!Decrypt-All-Files-{random 7 characters}.bmp (Windows XP and below)
• %User Profile%\Documents\!Decrypt-All-Files-{random 7 characters}.txt (Windows Vista and above)
• %User Profile%\My Documents\!Decrypt-All-Files-{random 7 characters}.txt (Windows XP and below)

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Injiziert Code in die folgenden Prozesse:

• svchost.exe

Autostart-Technik

Schleust die folgenden Dateien ein:

• %System%\Tasks\{random filename} (Windows Vista and above)
• %Windows%\Tasks\{random filename}.job (Windows XP and below)

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Andere Systemänderungen

Ändert die folgenden Registrierungseinträge:

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %User Profile%\{My Documents or Documents}\!Decrypt-All-Files-{random 7 characters}.bmp

(Note: The default value data of the said registry entry is {User Defined}.)

HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = "0"

(Note: The default value data of the said registry entry is "User Defined".)

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = "0"

(Note: The default value data of the said registry entry is "User Defined".)

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• http://{BLOCKED}4qk625n6.onion.lt
• http://{BLOCKED}4qk625n6.onion.gq
• http://{BLOCKED}4qk625n6.tor2web.fi
• http://{BLOCKED}4qk625n6.tor2web.org
• http://{BLOCKED}4qk625n6.tor2web.blutmagie.de
• http://{BLOCKED}4qk625n6.onion.cab

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• 3fr
• 7z
• accdb
• ai
• arw
• bas
• bay
• blend
• cdr
• cer
• cpp
• cr2
• crt
• c
• crw
• cs
• db
• dbf
• dcr
• dds
• dd
• der
• dng
• docm
• docx
• doc
• dwg
• dxf
• dxg
• eps
• erf
• groups
• indd
• jpe
• jpeg
• jpg
• js
• kdc
• kwm
• mdb
• mdf
• md
• mef
• mrw
• nef
• nrw
• odb
• odm
• odp
• ods
• odt
• orf
• p12
• p7b
• p7c
• pdd
• pdf
• pef
• pem
• pfx
• php
• pl
• pptm
• ppt
• pptx
• psd
• pst
• ptx
• pwm
• py
• r3d
• raf
• rar
• raw
• rtf
• rw2
• rwl
• safe
• sql
• srf
• srw
• txt
• vsd
• wb2
• wpd
• wps
• xlk
• xlsm
• xls
• xlsb
• xlsx
• zip

Benennt verschlüsselte Dateien in folgende Namen um:

• {original file name and extension}.{random 7 characters}