Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\runtime broker.exe
- %APPDATA%\microsoft\windows\start menu\programs\startup\ransomware snc.exe
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\notepad.exe
- <Имя диска съемного носителя>:\tcm851ax32.exe
- <Имя диска съемного носителя>:\thlps_keeper_mayer_1965.docx
- <Имя диска съемного носителя>:\correct.avi
- <Имя диска съемного носителя>:\contosoroot.cer
- <Имя диска съемного носителя>:\dashborder_120.bmp
- <Имя диска съемного носителя>:\wrar520.exe
- <Имя диска съемного носителя>:\000814251_video_01.avi
- <Имя диска съемного носителя>:\calc.exe
- <Имя диска съемного носителя>:\testee.cer
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
Изменения в файловой системе
Создает следующие файлы
- C:\readme.txt
Присваивает атрибут 'скрытый' для следующих файлов
- <Полный путь к файлу>
Сетевая активность
TCP
Запросы HTTP GET
- http://ic###azip.com/
- http://re#######ata.merehosting.com/api/?ha######################################################################################
UDP
- DNS ASK ic###azip.com
- DNS ASK re#######ata.merehosting.com
