Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'empty'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
Читает файлы, отвечающие за хранение паролей сторонними программами
- %HOMEPATH%\desktop\contoso.cer
- %HOMEPATH%\desktop\contosoroot_1.cer
- %HOMEPATH%\desktop\delete.avi
- %HOMEPATH%\desktop\dial.bmp
- %HOMEPATH%\desktop\fi51.doc
- %HOMEPATH%\desktop\hadac_newsletter_july_2010_final.docx
- %HOMEPATH%\desktop\holycrosschurchinstructions.docx
- %HOMEPATH%\desktop\ovp25012015.doc
- %HOMEPATH%\desktop\pmd.cer
- %HOMEPATH%\desktop\sdszfo.docx
- %HOMEPATH%\desktop\testcertificate.cer
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles%\system32\readme.txt
- %HOMEPATH%\desktop\._cache_dcqpkx.exe
- %HOMEPATH%\desktop\ransomware2.0.txt
- %ProgramFiles%\system32\ransomware2.0.exe
Изменяет множество файлов пользовательских данных (Trojan.Encoder).
Сетевая активность
TCP
- 'gi##ub.com':443
- 'ra#.####ubusercontent.com':443
UDP
- DNS ASK gi##ub.com
- DNS ASK ra#.####ubusercontent.com
Другое
Создает и запускает на исполнение
- '%ProgramFiles%\system32\ransomware2.0.exe'
