Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'empty'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
Читает файлы, отвечающие за хранение паролей сторонними программами
- %HOMEPATH%\desktop\about.htm
- %HOMEPATH%\desktop\tree_view.htm
- %HOMEPATH%\desktop\toolbar.bmp
- %HOMEPATH%\desktop\split.avi
- %HOMEPATH%\desktop\sdkfailsafeemulator.cer
- %HOMEPATH%\desktop\ovp25012015.doc
- %HOMEPATH%\desktop\lisp_success.doc
- %HOMEPATH%\desktop\join.avi
- %HOMEPATH%\desktop\issi2013_template_for_posters.docx
- %HOMEPATH%\desktop\holycrosschurchinstructions.docx
- %HOMEPATH%\desktop\hanni_umami_chapter.doc
- %HOMEPATH%\desktop\glidescope_review_rev_010.docx
- %HOMEPATH%\desktop\dial.bmp
- %HOMEPATH%\desktop\delete.avi
- %HOMEPATH%\desktop\dashborder_192.bmp
- %HOMEPATH%\desktop\contoso_1.cer
- %HOMEPATH%\desktop\contosoroot.cer
- %HOMEPATH%\desktop\adhd_and_obesity.docx
- %HOMEPATH%\desktop\uep_form_786_bulletin_1726i602.doc
- %HOMEPATH%\desktop\weeklysheet1215.doc
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles%\system32\readme.txt
- %HOMEPATH%\desktop\._cache_minegames.exe
- %HOMEPATH%\desktop\minegames.txt
- %ProgramFiles%\system32\minegames.ransom.exe
Изменяет множество файлов пользовательских данных (Trojan.Encoder).
Сетевая активность
TCP
- 'ca####t.ufile.io':443
UDP
- DNS ASK ca####t.ufile.io
Другое
Создает и запускает на исполнение
- '%ProgramFiles%\system32\minegames.ransom.exe'
