Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\delete.avi
- <Имя диска съемного носителя>:\delete.avi.omnisphere.id
- <Имя диска съемного носителя>:\!decrypt_omnisphere.txt
- <Имя диска съемного носителя>:\unique_decrypt.key
Вредоносные функции
Для затруднения выявления своего присутствия в системе
удаляет теневые копии разделов.
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\desktop\decrypt_files.lnk
- D:\$recycle.bin\s-1-5-21-1960123792-2022915161-3775307078-1001\desktop.ini.omnisphere.id
- %HOMEPATH%\ntuser.ini.omnisphere.id
- %HOMEPATH%\!decrypt_omnisphere.txt
- %HOMEPATH%\unique_decrypt.key
- D:\$recycle.bin\s-1-5-21-1960123792-2022915161-3775307078-1001\!decrypt_omnisphere.txt
- D:\$recycle.bin\s-1-5-21-1960123792-2022915161-3775307078-1001\unique_decrypt.key
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c vssadmin.exe Delete Shadows /All /Quiet
- '<SYSTEM32>\vssvc.exe'
- '<SYSTEM32>\svchost.exe' -k swprv
