Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] '*mscfg' = '%APPDATA%\cfckdaq.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'mscfg' = '%APPDATA%\cfckdaq.exe'
- '%APPDATA%\cfckdaq.exe'
- '<SYSTEM32>\vssadmin.exe' delete shadows /all /Quiet
- <SYSTEM32>\cmd.exe
- ecmd.exe
- %HOMEPATH%\Desktop\HELP_RESTORE_FILES.bmp
- %HOMEPATH%\Desktop\HELP_RESTORE_FILES.txt
- %HOMEPATH%\Desktop\CryptoLocker.lnk
- <Служебный элемент>
- %APPDATA%\cfckdaq.exe
- %APPDATA%\key.dat
- %APPDATA%\log.html
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\ip[1]
- <Служебный элемент> в <Служебный элемент>
- '7t#######7vlep5o.42k0b13.net':80
- 'ip##fo.io':80
- http://7t#######7vlep5o.42k0b13.net/state1.php?U3##############################################################################################################################################################################################################################################################################################################
- http://ip##fo.io/ip
- DNS ASK 7t#######7vlep5o.42k0b13.net
- DNS ASK ip##fo.io
- ClassName: 'Shell_TrayWnd' WindowName: ''