Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Classes\HPUENWJWCEIWKKR\shell\open\command] '' = '%TEMP%\nkJ710iv603IwKb.exe'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\how to decrypt files.txt
- <Имя диска съемного носителя>:\correct.avi
- <Имя диска съемного носителя>:\archer.avi
Вредоносные функции
Для затруднения выявления своего присутствия в системе
удаляет теневые копии разделов.
Внедряет код в
следующие пользовательские процессы:
- servicec.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\gbr.exe
- %TEMP%\tlf.js
- %TEMP%\setup.exe
- %TEMP%\servicec.exe
- %TEMP%\drv.vbs
- %TEMP%\dkb.vbs
- %TEMP%\hsua.dll
- %TEMP%\aes.dll
- %TEMP%\nkj710iv603iwkb.exe
Создает файлы с требованием оплатить расшифровку файлов (Trojan.Encoder).
Сетевая активность
TCP
Запросы HTTP GET
- http://st####racy.host.sk/numcontrol49/bubaga.php
UDP
- DNS ASK st####racy.host.sk
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\tlf.js"
- '%TEMP%\gbr.exe' -ps52f5e8g5e9 -d%LOCALAPPDATA%\Temp
- '%TEMP%\servicec.exe'
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\drv.vbs"
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\dkb.vbs"
- '%TEMP%\gbr.exe' -ps52f5e8g5e9 -d%LOCALAPPDATA%\Temp' (со скрытым окном)
- '%WINDIR%\syswow64\wbem\wmic.exe' shadowcopy delete /nointeractive' (со скрытым окном)
