Összefoglaló
A Trojan.Ransomcrypt.K trójai program titkosítja a fájlokat a fertőzött számítógépen.
Leírás
A tójai egy orosz nyelvű email-el érkezik, amiben a következő link található: [https://]www.dropbox.com/s/u2bsyxs0wbsyx6r/temp[REMOVED]
Amikor a felhasználó rákattint a fenti linkre letölti a trójait.
A program bemásolja magát a következő helyre: %ProgramFiles%Startup[THREAT FILE NAME].exe
Eközben a következő fájlt hozza létre: %UserProfile%Application Datapic.bmp
Utána létrehozza a következő regisztrációs adatbázis alkulcsokat:
- HKEY_CURRENT_USERSoftwareLicensesCLSID
- HKEY_CURRENT_USERSoftwareThe Silicon Realms ToolworksArmadilloCLSID
Készít egy másoltatot magáról, és megkeresi a fertőzött számítógépen a következő kiterjesztésű fájlokat:
- .1cd
- .7z
- .accdb
- .arj
- .cer
- .csv
- .db3
- .dbf
- .doc
- .docx
- .dt
- .dwg
- .gsf
- .jpeg
- .jpg
- .key
- .kwm
- .mdb
- .mov
- .mpeg
- .odt
- .ppsx
- .ppt
- .pptx
- .psd
- .rar
- .rtf
- .xls
- .xlsm
- .xlsx
- .zip
Ezeket a fájlokat átnevezi .Support@casinomtgox.com kiterjesztésűre és le is titkosítja őket.
A trójai egy zsaroló szövegű háttérképet állít be.
Hivatkozások
Gyártói referencia: www.symantec.com