Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'empty'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
Читает файлы, отвечающие за хранение паролей сторонними программами
- %HOMEPATH%\desktop\api-hashmap.html
- %HOMEPATH%\desktop\archer.avi
- %HOMEPATH%\desktop\default.bmp
- %HOMEPATH%\desktop\dial.bmp
- %HOMEPATH%\desktop\february_catalogue__2015.doc
- %HOMEPATH%\desktop\file_p_00000000_1371597592.docx
- %HOMEPATH%\desktop\iisstart.html
- %HOMEPATH%\desktop\ovp25012015.doc
- %HOMEPATH%\desktop\sdksampleprivdeveloper.cer
- %HOMEPATH%\desktop\sdksampleunprivdeveloper.cer
- %HOMEPATH%\desktop\split.avi
- %HOMEPATH%\desktop\testcertificate.cer
- %HOMEPATH%\desktop\tree_view.html
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles%\system32\readme.txt
- %HOMEPATH%\desktop\._cache_dcqpkx.exe
- %HOMEPATH%\desktop\ransomware.txt
- %ProgramFiles%\system32\ransomware2.0.exe
Изменяет множество файлов пользовательских данных (Trojan.Encoder).
Сетевая активность
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
UDP
- DNS ASK cd#.##scordapp.com
- DNS ASK microsoft.com
Другое
Создает и запускает на исполнение
- '%ProgramFiles%\system32\ransomware2.0.exe'
