Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\43a4.tmp\43b5.bat
- %TEMP%\43a4.tmp\ransom.bmp
- %TEMP%\43a4.tmp\7z.dll
- %TEMP%\43a4.tmp\readme.txt
- %TEMP%\43a4.tmp\license.txt
- %TEMP%\43a4.tmp\history.txt
- %TEMP%\43a4.tmp\gw_webinar.bat
- %TEMP%\43a4.tmp\descript.ion
- %TEMP%\43a4.tmp\7-zip32.dll
- %TEMP%\43a4.tmp\7-zip.dll
- %TEMP%\43a4.tmp\7-zip.chm
- %TEMP%\43a4.tmp\7zg.exe
- %TEMP%\43a4.tmp\7zfm.exe
- %TEMP%\43a4.tmp\7zcon.sfx
- %TEMP%\43a4.tmp\7z.sfx
- %TEMP%\43a4.tmp\7z.exe
- %TEMP%\43a4.tmp\real_putty.exe
- %HOMEPATH%\your_files_are_encrypted.rnsm
Перемещает следующие файлы
- %HOMEPATH%\your_files_are_encrypted.rnsm в %HOMEPATH%\documents\your_files_are_encrypted.rnsm
- %TEMP%\43a4.tmp\ransom.bmp в %HOMEPATH%\ransom.bmp
- %TEMP%\43a4.tmp\real_putty.exe в %HOMEPATH%\real_putty.exe
Другое
Создает и запускает на исполнение
- '%TEMP%\43a4.tmp\7z.exe' a %HOMEPATH%\YOUR_FILES_ARE_ENCRYPTED.rnsm %HOMEPATH%\Documents\* -pSECRET
- '%HOMEPATH%\real_putty.exe'
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\43A4.tmp\43B5.bat <Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\43A4.tmp\43B5.bat <Полный путь к файлу>"
- '<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Control Panel\Desktop" /v Wallpaper /t REG_SZ /d %HOMEPATH%\ransom.bmp /f
- '<SYSTEM32>\rundll32.exe' user32.dll, UpdatePerUserSystemParameters
- '<SYSTEM32>\shutdown.exe' /r /t 30 /c "YOUR FILES ARE ENCRYPTED - REBOOTING COMPUTER !"
Пытается завершить работу операционной системы Windows.
