Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Интерпретатора командной строки (CMD)
- Диспетчера задач (Taskmgr)
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /f /im taskmgr.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\f546.tmp\f547.bat
- %HOMEPATH%\downloads\icq_rfrset.hacked
- %HOMEPATH%\downloads\icq_rfrset.hacked\:zone.identifier:$data
- %HOMEPATH%\downloads\jre-8u45-windows-x64.hacked
- %HOMEPATH%\downloads\jre-8u45-windows-x64.hacked\:zone.identifier:$data
- %HOMEPATH%\downloads\k-lite_codec_pack_1110_mega.hacked
- %HOMEPATH%\downloads\k-lite_codec_pack_1110_mega.hacked\:zone.identifier:$data
- %HOMEPATH%\downloads\k-lite_codec_pack_1110_mega_dlm.hacked
- %HOMEPATH%\downloads\k-lite_codec_pack_1110_mega_dlm.hacked\:zone.identifier:$data
- %HOMEPATH%\downloads\magent_rfrset.hacked
- %HOMEPATH%\downloads\magent_rfrset.hacked\:zone.identifier:$data
- %HOMEPATH%\desktop\file_p_00000000_1371597592.hacked
- %HOMEPATH%\downloads\mirc741.hacked
- %HOMEPATH%\downloads\opera_ni_stable.hacked
- %HOMEPATH%\downloads\opera_ni_stable.hacked\:zone.identifier:$data
- %HOMEPATH%\downloads\pidgin-2.10.11.hacked
- %HOMEPATH%\downloads\pidgin-2.10.11.hacked\:zone.identifier:$data
- %HOMEPATH%\downloads\steamsetup.hacked
- %HOMEPATH%\downloads\steamsetup.hacked\:zone.identifier:$data
- %HOMEPATH%\downloads\tcmd851ax64.hacked
- %HOMEPATH%\downloads\tcmd851ax64.hacked\:zone.identifier:$data
- %HOMEPATH%\downloads\thunderbird setup 31.6.0.hacked
- %HOMEPATH%\downloads\thunderbird setup 31.6.0.hacked\:zone.identifier:$data
- %HOMEPATH%\downloads\chromesetup.hacked
- %HOMEPATH%\downloads\chromesetup.hacked\:zone.identifier:$data
- %HOMEPATH%\desktop\wrar520.hacked
- %HOMEPATH%\desktop\total commander 64 bit.hacked
- %HOMEPATH%\desktop\toolbar.hacked
- %HOMEPATH%\desktop\about.hacked
- %HOMEPATH%\desktop\adadsi.hacked
- %HOMEPATH%\desktop\alert.hacked
- %HOMEPATH%\desktop\aoc_saq_d_v3_merchant.hacked
- %HOMEPATH%\desktop\browse.hacked
- %HOMEPATH%\desktop\calc.hacked
- %HOMEPATH%\desktop\coffee.hacked
- %HOMEPATH%\desktop\contosoroot.hacked
- %HOMEPATH%\desktop\contosoroot_1.hacked
- %HOMEPATH%\desktop\dashborder_144.hacked
- %HOMEPATH%\downloads\winamp5666_full_all.hacked
- %HOMEPATH%\downloads\mirc741.hacked\:zone.identifier:$data
- %HOMEPATH%\desktop\fi51.hacked
- %HOMEPATH%\desktop\hadac_newsletter_july_2010_final.hacked
- %HOMEPATH%\desktop\icq.hacked
- %HOMEPATH%\desktop\ituneshelpunavailable.hacked
- %HOMEPATH%\desktop\mail.ru agent.hacked
- %HOMEPATH%\desktop\nwfieldnotes1966.hacked
- %HOMEPATH%\desktop\qip 2012.hacked
- %HOMEPATH%\desktop\sdszfo.hacked
- %HOMEPATH%\desktop\skypesetup.hacked
- %HOMEPATH%\desktop\telegram.hacked
- %HOMEPATH%\desktop\tileimage.hacked
- nul
- %HOMEPATH%\desktop\glidescope_review_rev_010.hacked
- %HOMEPATH%\downloads\winamp5666_full_all.hacked\:zone.identifier:$data
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\F546.tmp\F547.bat <Полный путь к файлу>"
- '<SYSTEM32>\cacls.exe' "<SYSTEM32>\config\system"
- '<SYSTEM32>\reg.exe' add "hkcu\control panel\desktop" /v wallpaper /t REG_SZ /d "<Текущая директория>\files\ransomware.png" /f
- '<SYSTEM32>\reg.exe' add "hkcu\control panel\desktop" /v WallpaperStyle /t REG_SZ /d 6 /f
- '<SYSTEM32>\rundll32.exe' user32.dll, UpdatePerUserSystemParameters ,1 ,True
- '<SYSTEM32>\mode.com' con cols=107 lines=39
- '<SYSTEM32>\xcopy.exe' /h /y Kyustar_Batch_Ransomware.bat "%HOMEPATH%\AppData"
- '<SYSTEM32>\xcopy.exe' /h /y Kyustar_Batch_Ransomware.bat "%APPDATA%\Microsoft\Windows\Start Menu\Programs\startup"
- '<SYSTEM32>\reg.exe' add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v disabletaskmgr /t reg_dword /d 1 /f
- '<SYSTEM32>\reg.exe' add HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\System /v disablecmd /t reg_dword /d 1 /f
- '<SYSTEM32>\ipconfig.exe' /release
