Ransomcrypt.U trójai

Mindezt azáltal, hogy különféle állományokat titkosít le, majd megzsarolja a felhasználókat. A kompromittált állományok fájlnevét teljes mértékben átalakítja, és azokhoz hozzáfűzi az aktuális rendszeridőt, egy e-mail címet, valamint egy .cbf kiterjesztést. Amint a titkosítási folyamatokkal végez, akkor megváltoztatja az Asztal háttérképét, vagyis feltűnő módon tudatja a felhasználóval, hogy mi is történt, majd közli a követeléseit.

A Ransomcrypt.U alapvetően két könyvtárba fészkeli be magát. Egyrészt a Program Files mappába, másrészt az átmeneti fájlok tárolására szolgáló (Temp) könyvtárba. Ide kerülnek azok a képállományok is, amelyek később az Asztal háttérére kerülnek.

A trójai ez esetben is egy tekintélyes méretű kiterjesztéslistával rendelkezik, ami azt jelenti, hogy megannyi fájl tönkretételére alkalmas, beleértve a dokumentumokat, a fényképeket, a multimédiás állományokat és az adatbázisokat is.

1. Létrehozza a következő állományokat:
%Temp%desk.bmp
%Temp%desk.jpg
%ProgramFiles%[…].exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”pr” = “%ProgramFiles%[…].exe”

3. A regisztrációs adatbázisban manipulálja a következő értékeket:
HKEY_CURRENT_USERControl PanelDesktop”TileWallpaper” = “0”
HKEY_CURRENT_USERControl PanelDesktop”Wallpaper” = “%Temp%desk.bmp”

4. Egy kiterjesztéslista alapján felkutatja a számára érdekes állományokat.

5. A felkutatott fájlokat titkosítja.

6. A titkosított állományok nevét megváltoztatja, és kiegészíti egyebek mellett dátum és idő adatokkal, egy e-mail címmel, valamint egy .cbf kiterjesztéssel.

7. Kapcsolódik egy távoli kiszolgálóhoz, amelyekre rendszerinformációkat tölt fel.

8. Megváltoztatja az Asztal háttérképét.