Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'persistence1' = '%APPDATA%\URGENTE_LEIA_PARA_MAIS_INFORMACOES.txt'
- %TEMP%\1.tmp\2.bat
- %APPDATA%\URGENTE_LEIA_PARA_MAIS_INFORMACOES.txt
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\2.bat" <Полный путь к файлу>"
- '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v LegalNoticeCaption /t reg_sz /d "ENCRYPTED USER" /F
- '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v LegalNoticeText /t reg_sz /d "TODOS OS SEUS ARQUIVOS FORAM CRIPTOGRAFADOS PELO THE DEATH ENCRYPTOR. MAS NAO SE PREOCUPE! VOCE...
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v persistence1 /t REG_SZ /d "%APPDATA%\URGENTE_LEIA_PARA_MAIS_INFORMACOES.txt" /f
- '<SYSTEM32>\schtasks.exe' /Create /SC MINUTE /TN the_death_encryptor1 /TR %APPDATA%\URGENTE_LEIA_PARA_MAIS_INFORMACOES.txt /f
- '<SYSTEM32>\attrib.exe' %APPDATA%\URGENTE_LEIA_PARA_MAIS_INFORMACOES.txt +h +s
- '<SYSTEM32>\xcopy.exe' %HOMEPATH%\desktop\bot\THE_DEATH_ENCRYPTOR.exe /y %APPDATA%\boot