Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.Encoder.13133

Добавлен в вирусную базу Dr.Web: 2017-07-24

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'falrqtcr472' = '"%TEMP%\IXP000.TMP\tasksche.exe"'
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'wextract_cleanup0' = 'rundll32.exe <SYSTEM32>\advpack.dll,DelNodeRunDLL32 "%TEMP%\IXP000.TMP\"'
Создает или изменяет следующие файлы:
  • %HOMEPATH%\Start Menu\Programs\Startup\@WanaDecryptor@.exe.lnk
  • %HOMEPATH%\Start Menu\Programs\Startup\x.vbs.WNCRYT
  • %HOMEPATH%\Start Menu\Programs\Startup\x.vbs
  • %HOMEPATH%\Start Menu\Programs\Startup\@Please_Read_Me@.txt
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
удаляет теневые копии разделов.
Создает и запускает на исполнение:
  • '%TEMP%\IXP000.TMP\taskse.exe' %TEMP%\IXP000.TMP\@WanaDecryptor@.exe
  • '%TEMP%\IXP000.TMP\@WanaDecryptor@.exe'
  • '%TEMP%\IXP000.TMP\taskdl.exe'
  • '%TEMP%\IXP000.TMP\@WanaDecryptor@.exe' co
Запускает на исполнение:
  • '<SYSTEM32>\reg.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "falrqtcr472" /t REG_SZ /d "\"%TEMP%\IXP000.TMP\tasksche.exe\"" /f
  • '<SYSTEM32>\taskkill.exe' /f /im Microsoft.Exchange.*
  • '<SYSTEM32>\cmd.exe' /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog ...
  • '<SYSTEM32>\cmd.exe' /c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "falrqtcr472" /t REG_SZ /d "\"%TEMP%\IXP000.TMP\tasksche.exe\"" /f
  • '<SYSTEM32>\taskkill.exe' /f /im sqlwriter.exe
  • '<SYSTEM32>\taskkill.exe' /f /im mysqld.exe
  • '<SYSTEM32>\taskkill.exe' /f /im MSExchange*
  • '<SYSTEM32>\taskkill.exe' /f /im sqlserver.exe
  • '%TEMP%\IXP000.TMP\TaskData\Tor\taskhsvc.exe'
  • '%ProgramFiles%\Internet Explorer\IEXPLORE.EXE'
  • '<SYSTEM32>\attrib.exe' +h .
  • '%TEMP%\IXP000.TMP\1.xyz'
  • '<SYSTEM32>\cmd.exe' /c echo on error resume next:CreateObject("WScript.Shell").Run "%TEMP%\IXP000.TMP\1.xyz",1: >"%HOMEPATH%\Start Menu\Programs\Startup\x.vbs"
  • '<SYSTEM32>\cmd.exe' /c start /b @WanaDecryptor@.exe vs
  • '%TEMP%\IXP000.TMP\@WanaDecryptor@.exe' vs
  • '<SYSTEM32>\cmd.exe' /c 40291500909941.bat
  • '<SYSTEM32>\cscript.exe' //nologo m.vbs
Внедряет код в
следующие пользовательские процессы:
  • 1.xyz
Завершает или пытается завершить
следующие системные процессы:
  • <SYSTEM32>\cmd.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
  • C:\Documents and Settings\Default User\Templates\quattro.wb2.WNCRYT
  • C:\startup_local.bat.WNCRYT
  • <STUBS_DIR>\@WanaDecryptor@.exe
  • %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\prefs.js.WNCRYT
  • %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\key3.db.WNCRYT
  • %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\cert8.db.WNCRYT
  • C:\Far2\PluginSDK\Headers.pas\@Please_Read_Me@.txt
  • C:\Far2\Plugins\FTP\@WanaDecryptor@.exe
  • C:\Far2\Plugins\FTP\@Please_Read_Me@.txt
  • <STUBS_DIR>\@Please_Read_Me@.txt
  • <STUBS_DIR>\list_full.txt.WNCRYT
  • C:\Far2\PluginSDK\Headers.pas\@WanaDecryptor@.exe
  • %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\secmod.db.WNCRYT
  • C:\Far2\Plugins\ExtSearch\sources\ExtSearch.cpp.WNCRYT
  • C:\Far2\Plugins\ExtSearch\sources\ExtRegExp.cpp.WNCRYT
  • C:\Far2\Plugins\ExtSearch\sources\ExtMenu.cpp.WNCRYT
  • C:\Far2\Plugins\ExtSearch\sources\RegExp\CLOCALE.CPP.WNCRYT
  • C:\Far2\Plugins\ExtSearch\sources\ExtSearchReg.cpp.WNCRYT
  • C:\Far2\Plugins\ExtSearch\sources\ExtSearchMix.cpp.WNCRYT
  • C:\Far2\Addons\Colors\import_colors.bat.WNCRYT
  • %HOMEPATH%\Templates\quattro.wb2.WNCRYT
  • <LS_APPDATA>\IconCache.db.WNCRYT
  • C:\Far2\Plugins\ExtSearch\sources\ExtChCase.cpp.WNCRYT
  • C:\Far2\Plugins\Colorer\hrc\auto\types\auto.jar.WNCRYT
  • C:\Far2\Plugins\Colorer\hrc\common.jar.WNCRYT
  • C:\Far2\Plugins\Colorer\hrc\@WanaDecryptor@.exe.lnk
  • C:\Far2\Plugins\Colorer\hrc\@Please_Read_Me@.txt
  • C:\Far2\Plugins\Colorer\hrc\changes.txt.WNCRYT
  • %TEMP%\IXP000.TMP\f.wnry
  • C:\Far2\Plugins\ExtSearch\doc\ENG_READ.TXT.WNCRYT
  • C:\Far2\Plugins\ExtSearch\doc\ENG_NEWS.TXT.WNCRYT
  • C:\Far2\Documentation\rus\@WanaDecryptor@.exe
  • C:\Far2\Documentation\rus\@Please_Read_Me@.txt
  • C:\Far2\Documentation\rus\TechInfo.txt.WNCRYT
  • C:\Far2\Plugins\7-Zip\@WanaDecryptor@.exe
  • C:\Far2\Plugins\7-Zip\@Please_Read_Me@.txt
  • C:\Far2\Plugins\7-Zip\far7z.txt.WNCRYT
  • C:\Far2\Plugins\ExtSearch\doc\REGEXPS.TXT.WNCRYT
  • C:\Far2\Plugins\FTP\FtpCmds.txt.WNCRYT
  • C:\Far2\Plugins\ExtSearch\sources\RegExp\@WanaDecryptor@.exe.lnk
  • C:\Far2\Plugins\ExtSearch\sources\RegExp\@Please_Read_Me@.txt
  • C:\Far2\Plugins\FTP\Notes_rus.txt.WNCRYT
  • C:\Far2\Plugins\FTP\Notes.txt.WNCRYT
  • C:\Far2\Plugins\FTP\FtpCmds_rus.txt.WNCRYT
  • C:\Far2\Plugins\ExtSearch\doc\@Please_Read_Me@.txt
  • C:\Far2\Plugins\ExtSearch\doc\RUS_READ.TXT.WNCRYT
  • C:\Far2\Plugins\ExtSearch\doc\RUS_NEWS.TXT.WNCRYT
  • C:\Far2\Plugins\ExtSearch\sources\@WanaDecryptor@.exe.lnk
  • C:\Far2\Plugins\ExtSearch\sources\@Please_Read_Me@.txt
  • C:\Far2\Plugins\ExtSearch\doc\@WanaDecryptor@.exe.lnk
  • %ALLUSERSPROFILE%\Desktop\@WanaDecryptor@.bmp
  • <STUBS_DIR>\runall.bat.WNCRYT
  • <STUBS_DIR>\proc_tools.txt.WNCRYT
  • C:\Documents and Settings\Default User\Desktop\@WanaDecryptor@.exe
  • C:\Documents and Settings\Default User\Desktop\@WanaDecryptor@.bmp
  • %ALLUSERSPROFILE%\Desktop\@WanaDecryptor@.exe
  • <STUBS_DIR>\proc_browsers.txt.WNCRYT
  • <STUBS_DIR>\proc_banks.txt.WNCRYT
  • <STUBS_DIR>\proc_av.txt.WNCRYT
  • <STUBS_DIR>\proc_im.txt.WNCRYT
  • <STUBS_DIR>\proc_games.txt.WNCRYT
  • <STUBS_DIR>\proc_fake.txt.WNCRYT
  • %HOMEPATH%\Desktop\@WanaDecryptor@.bmp
  • %TEMP%\IXP000.TMP\TaskData\Tor\tor.exe
  • %TEMP%\IXP000.TMP\TaskData\Tor\ssleay32.dll
  • %TEMP%\IXP000.TMP\TaskData\Tor\libssp-0.dll
  • %APPDATA%\tor\state.tmp
  • %TEMP%\IXP000.TMP\TaskData\Tor\taskhsvc.exe
  • %TEMP%\IXP000.TMP\TaskData\Tor\zlib1.dll
  • %TEMP%\IXP000.TMP\TaskData\Tor\libevent-2-0-5.dll
  • %TEMP%\IXP000.TMP\TaskData\Tor\libeay32.dll
  • %HOMEPATH%\Desktop\@WanaDecryptor@.exe
  • %TEMP%\IXP000.TMP\TaskData\Tor\libgcc_s_sjlj-1.dll
  • %TEMP%\IXP000.TMP\TaskData\Tor\libevent_extra-2-0-5.dll
  • %TEMP%\IXP000.TMP\TaskData\Tor\libevent_core-2-0-5.dll
  • C:\Documents and Settings\Default User\Application Data\Microsoft\Internet Explorer\brndlog.txt.WNCRYT
  • C:\Documents and Settings\Default User\Application Data\Microsoft\Internet Explorer\brndlog.bak.WNCRYT
  • C:\AUTOEXEC.BAT.WNCRYT
  • %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\sessionstore.bak.WNCRYT
  • %APPDATA%\Microsoft\Internet Explorer\brndlog.bak.WNCRYT
  • C:\Documents and Settings\Default User\Templates\sndrec.wav.WNCRYT
  • C:\Far2\Plugins\ExtSearch\sources\RegExp\CREGEXP.H.WNCRYT
  • C:\Far2\Plugins\ExtSearch\sources\RegExp\CREGEXP.CPP.WNCRYT
  • C:\Far2\Plugins\ExtSearch\sources\RegExp\CLOCALE.H.WNCRYT
  • C:\Far2\PluginSDK\Headers.pas\PluginW.pas.WNCRYT
  • C:\Far2\PluginSDK\Headers.pas\FarKeysW.pas.WNCRYT
  • C:\Far2\PluginSDK\Headers.pas\FarColorW.pas.WNCRYT
  • %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\sessionstore.js.WNCRYT
  • C:\Far2\Plugins\ExtSearch\sources\ESEARCH.BAT.WNCRYT
  • C:\Far2\Addons\Colors\Default Highlighting\import_colors.bat.WNCRYT
  • C:\Far2\Addons\Colors\Custom Highlighting\import_colors.bat.WNCRYT
  • <STUBS_DIR>\list_short.txt.WNCRYT
  • C:\Far2\Plugins\ExtSearch\sources\ExtClipBoard.cpp.WNCRYT
  • C:\Far2\Plugins\ExtSearch\sources\esearch_debug.bat.WNCRYT
  • C:\Far2\RestoreSettings.cmd.WNCRYT
  • C:\Far2\ClearPluginsCache.cmd.WNCRYT
  • %HOMEPATH%\Templates\sndrec.wav.WNCRYT
  • C:\Far2\Addons\Colors\export_colors.bat.WNCRYT
  • C:\Far2\Addons\README.TXT.WNCRYT
  • C:\Far2\SaveSettings.cmd.WNCRYT
  • C:\Far2\Documentation\rus\Plugins.Review.txt.WNCRYT
  • %TEMP%\IXP000.TMP\msg\m_vietnamese.wnry
  • %TEMP%\IXP000.TMP\msg\m_turkish.wnry
  • %TEMP%\IXP000.TMP\msg\m_swedish.wnry
  • %TEMP%\IXP000.TMP\t.wnry
  • %TEMP%\IXP000.TMP\s.wnry
  • %TEMP%\IXP000.TMP\r.wnry
  • %TEMP%\IXP000.TMP\msg\m_romanian.wnry
  • %TEMP%\IXP000.TMP\msg\m_portuguese.wnry
  • %TEMP%\IXP000.TMP\msg\m_polish.wnry
  • %TEMP%\IXP000.TMP\msg\m_spanish.wnry
  • %TEMP%\IXP000.TMP\msg\m_slovak.wnry
  • %TEMP%\IXP000.TMP\msg\m_russian.wnry
  • %TEMP%\IXP000.TMP\taskdl.exe
  • %ALLUSERSPROFILE%\Documents\My Music\Sample Music\@Please_Read_Me@.txt
  • %TEMP%\IXP000.TMP\@Please_Read_Me@.txt
  • %TEMP%\IXP000.TMP\40291500909941.bat
  • %ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures\Water lilies.jpg.WNCRYT
  • %ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures\Sunset.jpg.WNCRYT
  • %ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures\Blue hills.jpg.WNCRYT
  • %TEMP%\IXP000.TMP\00000000.pky
  • %TEMP%\IXP000.TMP\u.wnry
  • %TEMP%\IXP000.TMP\taskse.exe
  • %TEMP%\IXP000.TMP\@WanaDecryptor@.exe
  • %TEMP%\IXP000.TMP\00000000.res
  • %TEMP%\IXP000.TMP\00000000.eky
  • %TEMP%\IXP000.TMP\msg\m_chinese (traditional).wnry
  • %TEMP%\IXP000.TMP\msg\m_chinese (simplified).wnry
  • %TEMP%\IXP000.TMP\msg\m_bulgarian.wnry
  • %TEMP%\IXP000.TMP\msg\m_danish.wnry
  • %TEMP%\IXP000.TMP\msg\m_czech.wnry
  • %TEMP%\IXP000.TMP\msg\m_croatian.wnry
  • <LS_APPDATA>\CSIDL_
  • %TEMP%\IXP000.TMP\1.xy_
  • %TEMP%\IXP000.TMP\1.xyz
  • %TEMP%\IXP000.TMP\c.wnry
  • %TEMP%\IXP000.TMP\b.wnry
  • <LS_APPDATA>\CSIDL_X
  • %TEMP%\IXP000.TMP\msg\m_dutch.wnry
  • %TEMP%\IXP000.TMP\msg\m_japanese.wnry
  • %TEMP%\IXP000.TMP\msg\m_italian.wnry
  • %TEMP%\IXP000.TMP\msg\m_indonesian.wnry
  • %TEMP%\IXP000.TMP\msg\m_norwegian.wnry
  • %TEMP%\IXP000.TMP\msg\m_latvian.wnry
  • %TEMP%\IXP000.TMP\msg\m_korean.wnry
  • %TEMP%\IXP000.TMP\msg\m_finnish.wnry
  • %TEMP%\IXP000.TMP\msg\m_filipino.wnry
  • %TEMP%\IXP000.TMP\msg\m_english.wnry
  • %TEMP%\IXP000.TMP\msg\m_greek.wnry
  • %TEMP%\IXP000.TMP\msg\m_german.wnry
  • %TEMP%\IXP000.TMP\msg\m_french.wnry
  • C:\Far2\Addons\Colors\@WanaDecryptor@.exe
  • C:\Far2\Addons\Colors\@Please_Read_Me@.txt
  • C:\Far2\Addons\@WanaDecryptor@.exe
  • C:\Far2\Addons\Colors\Default Highlighting\@Please_Read_Me@.txt
  • C:\Far2\Addons\Colors\Custom Highlighting\@WanaDecryptor@.exe.lnk
  • C:\Far2\Addons\Colors\Custom Highlighting\@Please_Read_Me@.txt
  • %HOMEPATH%\Templates\@WanaDecryptor@.exe
  • %HOMEPATH%\Templates\@Please_Read_Me@.txt
  • %HOMEPATH%\Templates\winword2.doc.WNCRYT
  • C:\Far2\Addons\@Please_Read_Me@.txt
  • C:\Far2\@WanaDecryptor@.exe
  • C:\Far2\@Please_Read_Me@.txt
  • C:\Far2\Addons\Colors\Default Highlighting\@WanaDecryptor@.exe.lnk
  • C:\Far2\Documentation\rus\Arc.Support.txt.WNCRYT
  • C:\Far2\Documentation\eng\@WanaDecryptor@.exe
  • C:\Far2\Documentation\eng\@Please_Read_Me@.txt
  • C:\Far2\Documentation\rus\Plugins.Install.txt.WNCRYT
  • C:\Far2\Documentation\rus\Far.FAQ.txt.WNCRYT
  • C:\Far2\Documentation\rus\Bug.Report.txt.WNCRYT
  • C:\Far2\Documentation\eng\Far.FAQ.txt.WNCRYT
  • C:\Far2\Documentation\eng\Bug.Report.txt.WNCRYT
  • C:\Far2\Documentation\eng\Arc.Support.txt.WNCRYT
  • C:\Far2\Documentation\eng\TechInfo.txt.WNCRYT
  • C:\Far2\Documentation\eng\Plugins.Review.txt.WNCRYT
  • C:\Far2\Documentation\eng\Plugins.Install.txt.WNCRYT
  • C:\Documents and Settings\Default User\Application Data\Microsoft\Internet Explorer\@Please_Read_Me@.txt
  • %ALLUSERSPROFILE%\Application Data\Microsoft\User Account Pictures\@Please_Read_Me@.txt
  • %TEMP%\IXP000.TMP\m.vbs
  • C:\Documents and Settings\Default User\Templates\powerpnt.ppt.WNCRYT
  • C:\Documents and Settings\Default User\Templates\excel4.xls.WNCRYT
  • C:\Documents and Settings\Default User\Templates\excel.xls.WNCRYT
  • %ALLUSERSPROFILE%\Documents\My Music\Sample Music\Beethoven's Symphony No. 9 (Scherzo).wma.WNCRYT
  • %ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures\@Please_Read_Me@.txt
  • %ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures\Winter.jpg.WNCRYT
  • C:\@WanaDecryptor@.exe
  • C:\@Please_Read_Me@.txt
  • %ALLUSERSPROFILE%\Documents\My Music\Sample Music\New Stories (Highway Blues).wma.WNCRYT
  • C:\Documents and Settings\Default User\Templates\winword.doc.WNCRYT
  • %HOMEPATH%\Templates\excel.xls.WNCRYT
  • <LS_APPDATA>\@WanaDecryptor@.exe.lnk
  • <LS_APPDATA>\@Please_Read_Me@.txt
  • %HOMEPATH%\Templates\winword.doc.WNCRYT
  • %HOMEPATH%\Templates\powerpnt.ppt.WNCRYT
  • %HOMEPATH%\Templates\excel4.xls.WNCRYT
  • C:\Documents and Settings\Default User\Templates\@WanaDecryptor@.exe
  • C:\Documents and Settings\Default User\Templates\@Please_Read_Me@.txt
  • C:\Documents and Settings\Default User\Templates\winword2.doc.WNCRYT
  • %TEMP%\IXP000.TMP\@WanaDecryptor@.exe.lnk
  • %APPDATA%\Microsoft\Internet Explorer\@Please_Read_Me@.txt
  • %APPDATA%\Microsoft\Internet Explorer\brndlog.txt.WNCRYT
Присваивает атрибут 'скрытый' для следующих файлов:
  • <LS_APPDATA>\CSIDL_X
  • <LS_APPDATA>\CSIDL_
Удаляет следующие файлы:
  • %TEMP%\103.WNCRYT
  • %TEMP%\IXP000.TMP\m.vbs
Перемещает следующие файлы:
  • C:\Far2\PluginSDK\Headers.pas\FarColorW.pas.WNCRYT в C:\Far2\PluginSDK\Headers.pas\FarColorW.pas.WNCRY
  • C:\Far2\PluginSDK\Headers.pas\FarKeysW.pas.WNCRYT в C:\Far2\PluginSDK\Headers.pas\FarKeysW.pas.WNCRY
  • C:\Far2\Plugins\ExtSearch\sources\RegExp\CREGEXP.H.WNCRYT в C:\Far2\Plugins\ExtSearch\sources\RegExp\CREGEXP.H.WNCRY
  • C:\Far2\Plugins\ExtSearch\sources\RegExp\CLOCALE.H.WNCRYT в C:\Far2\Plugins\ExtSearch\sources\RegExp\CLOCALE.H.WNCRY
  • C:\Far2\Plugins\ExtSearch\sources\RegExp\CREGEXP.CPP.WNCRYT в C:\Far2\Plugins\ExtSearch\sources\RegExp\CREGEXP.CPP.WNCRY
  • C:\Far2\PluginSDK\Headers.pas\PluginW.pas.WNCRYT в C:\Far2\PluginSDK\Headers.pas\PluginW.pas.WNCRY
  • C:\Documents and Settings\Default User\Templates\sndrec.wav.WNCRYT в C:\Documents and Settings\Default User\Templates\sndrec.wav.WNCRY
  • %APPDATA%\Microsoft\Internet Explorer\brndlog.bak.WNCRYT в %APPDATA%\Microsoft\Internet Explorer\brndlog.bak.WNCRY
  • C:\Documents and Settings\Default User\Application Data\Microsoft\Internet Explorer\brndlog.txt.WNCRYT в C:\Documents and Settings\Default User\Application Data\Microsoft\Internet Explorer\brndlog.txt.WNCRY
  • C:\AUTOEXEC.BAT.WNCRYT в C:\AUTOEXEC.BAT.WNCRY
  • C:\Documents and Settings\Default User\Application Data\Microsoft\Internet Explorer\brndlog.bak.WNCRYT в C:\Documents and Settings\Default User\Application Data\Microsoft\Internet Explorer\brndlog.bak.WNCRY
  • C:\Far2\Plugins\ExtSearch\sources\RegExp\CLOCALE.CPP.WNCRYT в C:\Far2\Plugins\ExtSearch\sources\RegExp\CLOCALE.CPP.WNCRY
  • C:\Far2\Plugins\Colorer\hrc\common.jar.WNCRYT в C:\Far2\Plugins\Colorer\hrc\common.jar.WNCRY
  • C:\Far2\Plugins\Colorer\hrc\auto\types\auto.jar.WNCRYT в C:\Far2\Plugins\Colorer\hrc\auto\types\auto.jar.WNCRY
  • C:\Far2\Addons\Colors\import_colors.bat.WNCRYT в C:\Far2\Addons\Colors\import_colors.bat.WNCRY
  • <LS_APPDATA>\IconCache.db.WNCRYT в <LS_APPDATA>\IconCache.db.WNCRY
  • %HOMEPATH%\Templates\quattro.wb2.WNCRYT в %HOMEPATH%\Templates\quattro.wb2.WNCRY
  • C:\Far2\Plugins\ExtSearch\sources\ExtChCase.cpp.WNCRYT в C:\Far2\Plugins\ExtSearch\sources\ExtChCase.cpp.WNCRY
  • C:\Far2\Plugins\ExtSearch\sources\ExtSearchMix.cpp.WNCRYT в C:\Far2\Plugins\ExtSearch\sources\ExtSearchMix.cpp.WNCRY
  • C:\Far2\Plugins\ExtSearch\sources\ExtSearchReg.cpp.WNCRYT в C:\Far2\Plugins\ExtSearch\sources\ExtSearchReg.cpp.WNCRY
  • C:\Far2\Plugins\ExtSearch\sources\ExtSearch.cpp.WNCRYT в C:\Far2\Plugins\ExtSearch\sources\ExtSearch.cpp.WNCRY
  • C:\Far2\Plugins\ExtSearch\sources\ExtMenu.cpp.WNCRYT в C:\Far2\Plugins\ExtSearch\sources\ExtMenu.cpp.WNCRY
  • C:\Far2\Plugins\ExtSearch\sources\ExtRegExp.cpp.WNCRYT в C:\Far2\Plugins\ExtSearch\sources\ExtRegExp.cpp.WNCRY
  • <STUBS_DIR>\proc_banks.txt.WNCRYT в <STUBS_DIR>\proc_banks.txt.WNCRY
  • <STUBS_DIR>\proc_browsers.txt.WNCRYT в <STUBS_DIR>\proc_browsers.txt.WNCRY
  • <STUBS_DIR>\proc_av.txt.WNCRYT в <STUBS_DIR>\proc_av.txt.WNCRY
  • C:\Far2\Plugins\ExtSearch\sources\ExtClipBoard.cpp.WNCRYT в C:\Far2\Plugins\ExtSearch\sources\ExtClipBoard.cpp.WNCRY
  • <STUBS_DIR>\list_short.txt.WNCRYT в <STUBS_DIR>\list_short.txt.WNCRY
  • <STUBS_DIR>\proc_fake.txt.WNCRYT в <STUBS_DIR>\proc_fake.txt.WNCRY
  • <STUBS_DIR>\runall.bat.WNCRYT в <STUBS_DIR>\runall.bat.WNCRY
  • %APPDATA%\tor\state.tmp в %APPDATA%\tor\state
  • <STUBS_DIR>\proc_tools.txt.WNCRYT в <STUBS_DIR>\proc_tools.txt.WNCRY
  • <STUBS_DIR>\proc_games.txt.WNCRYT в <STUBS_DIR>\proc_games.txt.WNCRY
  • <STUBS_DIR>\proc_im.txt.WNCRYT в <STUBS_DIR>\proc_im.txt.WNCRY
  • C:\Far2\Plugins\ExtSearch\sources\esearch_debug.bat.WNCRYT в C:\Far2\Plugins\ExtSearch\sources\esearch_debug.bat.WNCRY
  • C:\Far2\ClearPluginsCache.cmd.WNCRYT в C:\Far2\ClearPluginsCache.cmd.WNCRY
  • C:\Far2\RestoreSettings.cmd.WNCRYT в C:\Far2\RestoreSettings.cmd.WNCRY
  • %HOMEPATH%\Templates\sndrec.wav.WNCRYT в %HOMEPATH%\Templates\sndrec.wav.WNCRY
  • %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\sessionstore.bak.WNCRYT в %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\sessionstore.bak.WNCRY
  • %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\sessionstore.js.WNCRYT в %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\sessionstore.js.WNCRY
  • C:\Far2\SaveSettings.cmd.WNCRYT в C:\Far2\SaveSettings.cmd.WNCRY
  • C:\Far2\Addons\Colors\Default Highlighting\import_colors.bat.WNCRYT в C:\Far2\Addons\Colors\Default Highlighting\import_colors.bat.WNCRY
  • C:\Far2\Plugins\ExtSearch\sources\ESEARCH.BAT.WNCRYT в C:\Far2\Plugins\ExtSearch\sources\ESEARCH.BAT.WNCRY
  • C:\Far2\Addons\Colors\Custom Highlighting\import_colors.bat.WNCRYT в C:\Far2\Addons\Colors\Custom Highlighting\import_colors.bat.WNCRY
  • C:\Far2\Addons\README.TXT.WNCRYT в C:\Far2\Addons\README.TXT.WNCRY
  • C:\Far2\Addons\Colors\export_colors.bat.WNCRYT в C:\Far2\Addons\Colors\export_colors.bat.WNCRY
  • %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\secmod.db.WNCRYT в %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\secmod.db.WNCRY
  • %HOMEPATH%\Templates\winword.doc.WNCRYT в %HOMEPATH%\Templates\winword.doc.WNCRY
  • %HOMEPATH%\Templates\winword2.doc.WNCRYT в %HOMEPATH%\Templates\winword2.doc.WNCRY
  • %HOMEPATH%\Templates\powerpnt.ppt.WNCRYT в %HOMEPATH%\Templates\powerpnt.ppt.WNCRY
  • %HOMEPATH%\Templates\excel.xls.WNCRYT в %HOMEPATH%\Templates\excel.xls.WNCRY
  • %HOMEPATH%\Templates\excel4.xls.WNCRYT в %HOMEPATH%\Templates\excel4.xls.WNCRY
  • C:\Far2\Documentation\eng\Arc.Support.txt.WNCRYT в C:\Far2\Documentation\eng\Arc.Support.txt.WNCRY
  • C:\Far2\Documentation\eng\Plugins.Review.txt.WNCRYT в C:\Far2\Documentation\eng\Plugins.Review.txt.WNCRY
  • C:\Far2\Documentation\eng\TechInfo.txt.WNCRYT в C:\Far2\Documentation\eng\TechInfo.txt.WNCRY
  • C:\Far2\Documentation\eng\Plugins.Install.txt.WNCRYT в C:\Far2\Documentation\eng\Plugins.Install.txt.WNCRY
  • C:\Far2\Documentation\eng\Bug.Report.txt.WNCRYT в C:\Far2\Documentation\eng\Bug.Report.txt.WNCRY
  • C:\Far2\Documentation\eng\Far.FAQ.txt.WNCRYT в C:\Far2\Documentation\eng\Far.FAQ.txt.WNCRY
  • %APPDATA%\Microsoft\Internet Explorer\brndlog.txt.WNCRYT в %APPDATA%\Microsoft\Internet Explorer\brndlog.txt.WNCRY
  • %ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures\Winter.jpg.WNCRYT в %ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures\Winter.jpg.WNCRY
  • %ALLUSERSPROFILE%\Documents\My Music\Sample Music\Beethoven's Symphony No. 9 (Scherzo).wma.WNCRYT в %ALLUSERSPROFILE%\Documents\My Music\Sample Music\Beethoven's Symphony No. 9 (Scherzo).wma.WNCRY
  • %ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures\Water lilies.jpg.WNCRYT в %ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures\Water lilies.jpg.WNCRY
  • %ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures\Blue hills.jpg.WNCRYT в %ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures\Blue hills.jpg.WNCRY
  • %ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures\Sunset.jpg.WNCRYT в %ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures\Sunset.jpg.WNCRY
  • %ALLUSERSPROFILE%\Documents\My Music\Sample Music\New Stories (Highway Blues).wma.WNCRYT в %ALLUSERSPROFILE%\Documents\My Music\Sample Music\New Stories (Highway Blues).wma.WNCRY
  • C:\Documents and Settings\Default User\Templates\winword.doc.WNCRYT в C:\Documents and Settings\Default User\Templates\winword.doc.WNCRY
  • C:\Documents and Settings\Default User\Templates\winword2.doc.WNCRYT в C:\Documents and Settings\Default User\Templates\winword2.doc.WNCRY
  • C:\Documents and Settings\Default User\Templates\powerpnt.ppt.WNCRYT в C:\Documents and Settings\Default User\Templates\powerpnt.ppt.WNCRY
  • C:\Documents and Settings\Default User\Templates\excel.xls.WNCRYT в C:\Documents and Settings\Default User\Templates\excel.xls.WNCRY
  • C:\Documents and Settings\Default User\Templates\excel4.xls.WNCRYT в C:\Documents and Settings\Default User\Templates\excel4.xls.WNCRY
  • C:\Far2\Plugins\FTP\Notes.txt.WNCRYT в C:\Far2\Plugins\FTP\Notes.txt.WNCRY
  • C:\Far2\Plugins\FTP\Notes_rus.txt.WNCRYT в C:\Far2\Plugins\FTP\Notes_rus.txt.WNCRY
  • C:\Far2\Plugins\FTP\FtpCmds_rus.txt.WNCRYT в C:\Far2\Plugins\FTP\FtpCmds_rus.txt.WNCRY
  • C:\Far2\Plugins\ExtSearch\doc\RUS_READ.TXT.WNCRYT в C:\Far2\Plugins\ExtSearch\doc\RUS_READ.TXT.WNCRY
  • C:\Far2\Plugins\FTP\FtpCmds.txt.WNCRYT в C:\Far2\Plugins\FTP\FtpCmds.txt.WNCRY
  • <STUBS_DIR>\list_full.txt.WNCRYT в <STUBS_DIR>\list_full.txt.WNCRY
  • %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\key3.db.WNCRYT в %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\key3.db.WNCRY
  • %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\prefs.js.WNCRYT в %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\prefs.js.WNCRY
  • %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\cert8.db.WNCRYT в %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\cert8.db.WNCRY
  • C:\startup_local.bat.WNCRYT в C:\startup_local.bat.WNCRY
  • C:\Documents and Settings\Default User\Templates\quattro.wb2.WNCRYT в C:\Documents and Settings\Default User\Templates\quattro.wb2.WNCRY
  • C:\Far2\Plugins\ExtSearch\doc\RUS_NEWS.TXT.WNCRYT в C:\Far2\Plugins\ExtSearch\doc\RUS_NEWS.TXT.WNCRY
  • C:\Far2\Documentation\rus\Plugins.Install.txt.WNCRYT в C:\Far2\Documentation\rus\Plugins.Install.txt.WNCRY
  • C:\Far2\Documentation\rus\Plugins.Review.txt.WNCRYT в C:\Far2\Documentation\rus\Plugins.Review.txt.WNCRY
  • C:\Far2\Documentation\rus\Far.FAQ.txt.WNCRYT в C:\Far2\Documentation\rus\Far.FAQ.txt.WNCRY
  • C:\Far2\Documentation\rus\Arc.Support.txt.WNCRYT в C:\Far2\Documentation\rus\Arc.Support.txt.WNCRY
  • C:\Far2\Documentation\rus\Bug.Report.txt.WNCRYT в C:\Far2\Documentation\rus\Bug.Report.txt.WNCRY
  • C:\Far2\Documentation\rus\TechInfo.txt.WNCRYT в C:\Far2\Documentation\rus\TechInfo.txt.WNCRY
  • C:\Far2\Plugins\ExtSearch\doc\ENG_READ.TXT.WNCRYT в C:\Far2\Plugins\ExtSearch\doc\ENG_READ.TXT.WNCRY
  • C:\Far2\Plugins\ExtSearch\doc\REGEXPS.TXT.WNCRYT в C:\Far2\Plugins\ExtSearch\doc\REGEXPS.TXT.WNCRY
  • C:\Far2\Plugins\ExtSearch\doc\ENG_NEWS.TXT.WNCRYT в C:\Far2\Plugins\ExtSearch\doc\ENG_NEWS.TXT.WNCRY
  • C:\Far2\Plugins\7-Zip\far7z.txt.WNCRYT в C:\Far2\Plugins\7-Zip\far7z.txt.WNCRY
  • C:\Far2\Plugins\Colorer\hrc\changes.txt.WNCRYT в C:\Far2\Plugins\Colorer\hrc\changes.txt.WNCRY
Изменяет расширения файлов пользовательских данных (Trojan.Encoder).
Сетевая активность:
Подключается к:
  • '19#.#54.238.52':443
  • '62.##0.129.246':443
  • '17#.#2.197.82':443
  • '37.##7.195.87':443
  • '19#.#3.244.244':443
  • 'localhost':1037
  • 'localhost':9050
  • '80.##7.137.19':443
  • '21#.#1.66.117':9002
  • '19#.#09.206.212':443
Другое:
Ищет следующие окна:
  • ClassName: 'Shell_TrayWnd' WindowName: ''
  • ClassName: '' WindowName: ''
  • ClassName: 'Progman' WindowName: ''
  • ClassName: '' WindowName: 'Wana Decrypt0r 2.0'

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке