RANSOM_JIGSAW.I

Précisions sur l'apparition de l'infection

Possibilité de téléchargement depuis les sites distants suivants :

• 1.amazonaws.com/{BLOCKED}com/invoice75648.exe

Installation

Introduit les duplicats suivants au sein du système affecté, puis les exécute :

• %Application Data%\Magyrn\Magyrn.exe
• %AppDataLocal%\Nordsa\Nordsa.exe

(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.)

Introduit les fichiers non malveillants suivants :

• %Application Data%\System32Work\Address.txt - bitcoin address
• %Application Data%\System32Work\EncryptedFileList.txt - list of encrypted files
• %Application Data%\System32Work\dr

(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.)

Crée les dossiers suivants :

• %Application Data%\System32Work
• %Application Data%\Magyrn
• %AppDataLocal%\Nordsa

(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.)

Technique de démarrage automatique

Ajoute les entrées de registre suivantes afin de s'exécuter automatiquement à chaque démarrage système :

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Magyrn.exe = "%Application Data%\Magyrn\Magyrn.exe"

Autres modifications du système

Modifie les fichiers suivants :

• It encrypts files and appends the extension .payrms

Autres précisions

Chiffre les fichiers en utilisant les extensions suivantes :

• .jpg
• .jpeg
• .raw
• .gif
• .png
• .bmp
• .3dm
• .max
• .accdb
• .db
• .dbf
• .mdb
• .pdb
• .sql
• .dwg
• .dxf
• .c
• .cpp
• .cs
• .h
• .php
• .asp
• .rb
• .java
• .jar
• .class
• .py
• .js
• .aaf
• .aep
• .aepx
• .plb
• .prel
• .prproj
• .aet
• .ppj
• .psd
• .indd
• .indl
• .indt
• .indb
• .inx
• .idml
• .pmd
• .xqx
• .xqx
• .ai
• .eps
• .ps
• .svg
• .swf
• .fla
• .as3
• .as
• .txt
• .doc
• .dot
• .docx
• .docm
• .dotx
• .dotm
• .docb
• .rtf
• .wpd
• .wps
• .msg
• .pdf
• .xls
• .xlt
• .xlm
• .xlsx
• .xlsm
• .xltx
• .xltm
• .xlsb
• .xla
• .xlam
• .xll
• .xlw
• .ppt
• .pot
• .pps
• .pptx
• .pptm
• .potx
• .potm
• .ppam
• .ppsx
• .ppsm
• .sldx
• .sldm
• .wav
• .mp3
• .aif
• .iff
• .m3u
• .m4u
• .mid
• .mpa
• .wma
• .ra
• .avi
• .mov
• .mp4
• .3gp
• .mpeg
• .3g2
• .asf
• .asx
• .flv
• .mpg
• .wmv
• .vob
• .m3u8
• .dat
• .csv
• .efx
• .sdf
• .vcf
• .xml
• .ses
• .Qbw
• .QBB
• .QBM
• .QBI
• .QBR
• .Cnt
• .Des
• .v30
• .Qbo
• .Ini
• .Lgb
• .Qwc
• .Qbp
• .Aif
• .Qba
• .Tlg
• .Qbx
• .Qby
• .1pa
• .Qpd
• .Txt
• .Set
• .Iif
• .Nd
• .Rtp
• .Tlg
• .Wav
• .Qsm
• .Qss
• .Qst
• .Fx0
• .Fx1
• .Mx0
• .FPx
• .Fxr
• .Fim
• .ptb
• .Ai
• .Pfb
• .Cgn
• .Vsd
• .Cdr
• .Cmx
• .Cpt
• .Csl
• .Cur
• .Des
• .Dsf
• .Ds4
• .Drw
• .Dwg
• .Eps
• .Ps
• .Prn
• .Gif
• .Pcd
• .Pct
• .Pcx
• .Plt
• .Rif
• .Svg
• .Swf
• .Tga
• .Tiff
• .Psp
• .Ttf
• .Wpd
• .Wpg
• .Wi
• .Raw
• .Wmf
• .Txt
• .Cal
• .Cpx
• .Shw
• .Clk
• .Cdx
• .Cdt
• .Fpx
• .Fmv
• .Img
• .Gem
• .Xcf
• .Pic
• .Mac
• .Met
• .PP4
• .Pp5
• .Ppf
• .Xls
• .Xlsx
• .Xlsm
• .Ppt
• .Nap
• .Pat
• .Ps
• .Prn
• .Sct
• .Vsd
• .wk3
• .wk4
• .XPM
• .zip
• .rar