Trojan.Encoder.37720

Техническая информация

Для обеспечения автозапуска и распространения

Создает следующие файлы на съемном носителе

<Имя диска съемного носителя>:\000814251_video_01.avi
<Имя диска съемного носителя>:\gruenspecht_02172016.pptx
<Имя диска съемного носителя>:\waterresourcesag.pptx
<Имя диска съемного носителя>:\accountsreceivable.ppt
<Имя диска съемного носителя>:\mappingconcepthubberlin.ppt
<Имя диска съемного носителя>:\proposaltemplates.ppt
<Имя диска съемного носителя>:\ksearch_esa_talk.ppt
<Имя диска съемного носителя>:\cleanlyrics.png
<Имя диска съемного носителя>:\breakpoint.png
<Имя диска съемного носителя>:\dissolveanother.png
<Имя диска съемного носителя>:\hhhlcert.pem
<Имя диска съемного носителя>:\systisoft.pem
<Имя диска съемного носителя>:\indogerman2010.pptx
<Имя диска съемного носителя>:\ck_ugo.pem
<Имя диска съемного носителя>:\2015-02-patients-topic-work-related-asthma-jobs.pdf
<Имя диска съемного носителя>:\7790_preview.pdf
<Имя диска съемного носителя>:\dualectls.pdf
<Имя диска съемного носителя>:\10thingscondoms.pdf
<Имя диска съемного носителя>:\clip_1080_5sec_10mbps_h264.mp4
<Имя диска съемного носителя>:\video.mp4
<Имя диска съемного носителя>:\clip_480_5sec_6mbps_h264.mp4
<Имя диска съемного носителя>:\scan.mov
<Имя диска съемного носителя>:\spanner.mov
<Имя диска съемного носителя>:\firefly1.mov
<Имя диска съемного носителя>:\210252809.jpg
<Имя диска съемного носителя>:\server.pem
<Имя диска съемного носителя>:\hypothyroidism_slides.pptx
<Имя диска съемного носителя>:\asaprojectcompetition.pptx
<Имя диска съемного носителя>:\digest.rdf
<Имя диска съемного носителя>:\price030215.zip
<Имя диска съемного носителя>:\1sm_price.zip
<Имя диска съемного носителя>:\excel_example.zip
<Имя диска съемного носителя>:\price.zip
<Имя диска съемного носителя>:\suspendedcompanies.xlsx
<Имя диска съемного носителя>:\cee_mmsprogram_summary_public.xlsx
<Имя диска съемного носителя>:\trtf_matrix2012_oct.xlsx
<Имя диска съемного носителя>:\2013_smccc_competition_points_jul2013.xlsx
<Имя диска съемного носителя>:\national_autism_preparation_programs.xlsx
<Имя диска съемного носителя>:\calculatorworksheet.xls
<Имя диска съемного носителя>:\subjectclassification.xls
<Имя диска съемного носителя>:\fiche_inscription_2015.xls
<Имя диска съемного носителя>:\removedtitles_records.xls
<Имя диска съемного носителя>:\productos.xls
<Имя диска съемного носителя>:\guide_reorganization_mapping.xls
<Имя диска съемного носителя>:\babyboymaintonotesbackground_pal.wmv
<Имя диска съемного носителя>:\passport_pal.wmv
<Имя диска съемного носителя>:\testwmv.wmv
<Имя диска съемного носителя>:\babyboymaintoscenesbackground.wmv
<Имя диска съемного носителя>:\babyboymaintoscenesbackground_pal.wmv
<Имя диска съемного носителя>:\static_electricity_easy_and_quick_activities.rtf
<Имя диска съемного носителя>:\fungalnameauthors.rtf
<Имя диска съемного носителя>:\router_manual.rtf
<Имя диска съемного носителя>:\skos.rdf
<Имя диска съемного носителя>:\schema.rdf
<Имя диска съемного носителя>:\region-north-karelia.jpg
<Имя диска съемного носителя>:\removedtitles_records.zip
<Имя диска съемного носителя>:\1189.jpg
<Имя диска съемного носителя>:\pushkin.jpg
<Имя диска съемного носителя>:\tcm851ax32.exe
<Имя диска съемного носителя>:\glidescope_review_rev_010.docx
<Имя диска съемного носителя>:\nwfieldnotes1966.docx
<Имя диска съемного носителя>:\aoc_saq_d_v3_merchant.docx
<Имя диска съемного носителя>:\holycrosschurchinstructions.docx
<Имя диска съемного носителя>:\adhd_and_obesity.docx
<Имя диска съемного носителя>:\hadac_newsletter_july_2010_final.docx
<Имя диска съемного носителя>:\file_p_00000000_1371597592.docx
<Имя диска съемного носителя>:\hanni_umami_chapter.doc
<Имя диска съемного носителя>:\fi51.doc
<Имя диска съемного носителя>:\508softwareandos.doc
<Имя диска съемного носителя>:\dotnetfx45_full_setup.exe
<Имя диска съемного носителя>:\weeklysheet1215.doc
<Имя диска съемного носителя>:\contosoroot.cer
<Имя диска съемного носителя>:\contosoroot_1.cer
<Имя диска съемного носителя>:\contoso.cer
<Имя диска съемного носителя>:\contoso_1.cer
<Имя диска съемного носителя>:\testee.cer
<Имя диска съемного носителя>:\sdkfailsafeemulator.cer
<Имя диска съемного носителя>:\toolbar.bmp
<Имя диска съемного носителя>:\tileimage.bmp
<Имя диска съемного носителя>:\dialmap.bmp
<Имя диска съемного носителя>:\dashborder_120.bmp
<Имя диска съемного носителя>:\default.bmp
<Имя диска съемного носителя>:\pmd.cer
<Имя диска съемного носителя>:\wrar520.exe
<Имя диска съемного носителя>:\winmine.exe
<Имя диска съемного носителя>:\chromesetup.exe
<Имя диска съемного носителя>:\168.jpg
<Имя диска съемного носителя>:\2.jpg
<Имя диска съемного носителя>:\3.jpg
<Имя диска съемного носителя>:\210252809.jpeg
<Имя диска съемного носителя>:\1189.jpeg
<Имя диска съемного носителя>:\2.jpeg
<Имя диска съемного носителя>:\4f0bf7ff71f28.jpeg
<Имя диска съемного носителя>:\pushkin.jpeg
<Имя диска съемного носителя>:\13.jpeg
<Имя диска съемного носителя>:\region-north-karelia.jpeg
<Имя диска съемного носителя>:\168.jpeg
<Имя диска съемного носителя>:\browse.html
<Имя диска съемного носителя>:\iisstart.html
<Имя диска съемного носителя>:\alert.html
<Имя диска съемного носителя>:\adadsi.html
<Имя диска съемного носителя>:\about.html
<Имя диска съемного носителя>:\tree_view.html
<Имя диска съемного носителя>:\64bit_notes.htm
<Имя диска съемного носителя>:\trivial-merge.htm
<Имя диска съемного носителя>:\alert.htm
<Имя диска съемного носителя>:\about.htm
<Имя диска съемного носителя>:\ituneshelpunavailable.htm
<Имя диска съемного носителя>:\garden.htm
<Имя диска съемного носителя>:\tree_view.htm
<Имя диска съемного носителя>:\skypesetup.exe
<Имя диска съемного носителя>:\4f0bf7ff71f28.jpg
<Имя диска съемного носителя>:\system volume information\indexervolumeguid

Вредоносные функции

Для затруднения выявления своего присутствия в системе

блокирует:

Компонент восстановления системы (SR)

удаляет теневые копии разделов.

Запускает на исполнение

'<SYSTEM32>\netsh.exe' advfirewall set currentprofile state off
'<SYSTEM32>\netsh.exe' firewall set opmode mode=disable

Изменения в файловой системе

Создает следующие файлы

%TEMP%\content\3476-3876-<Имя файла>.exe-15-52-12-696.dump
%TEMP%\content\3476-3876-<Имя файла>.exe-15-52-15-699.dump
%TEMP%\content\3476-3876-<Имя файла>.exe-15-52-17-626.dump

Присваивает атрибут 'скрытый' для следующих файлов

<Полный путь к файлу>

Перемещает следующие файлы

%ProgramFiles%\desktop.ini в %ProgramFiles%\[decryption.helper@aol.com][cae53cb8]desktop.ini.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\j2pcsc.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]j2pcsc.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\j2pkcs11.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]j2pkcs11.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\jaas_nt.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]jaas_nt.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\jabswitch.exe в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]jabswitch.exe.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\java-rmi.exe в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]java-rmi.exe.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\java.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]java.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\java.exe в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]java.exe.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\javaaccessbridge-64.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]javaaccessbridge-64.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\javacpl.cpl в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]javacpl.cpl.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\javacpl.exe в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]javacpl.exe.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\javafx_font.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]javafx_font.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\javafx_font_t2k.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]javafx_font_t2k.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\javafx_iio.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]javafx_iio.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\javaw.exe в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]javaw.exe.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\javaws.exe в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]javaws.exe.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\java_crw_demo.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]java_crw_demo.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\jawt.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]jawt.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\jawtaccessbridge-64.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]jawtaccessbridge-64.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\jdwp.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]jdwp.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\instrument.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]instrument.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\jfr.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]jfr.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\hprof.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]hprof.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\glib-lite.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]glib-lite.dll.raasv2
%ProgramFiles%\internet explorer\signup\install.ins в %ProgramFiles%\internet explorer\signup\[decryption.helper@aol.com][cae53cb8]install.ins.raasv2
%ProgramFiles%\java\jre1.8.0_77\copyright в %ProgramFiles%\java\jre1.8.0_77\[decryption.helper@aol.com][cae53cb8]copyright.raasv2
%ProgramFiles%\java\jre1.8.0_77\license в %ProgramFiles%\java\jre1.8.0_77\[decryption.helper@aol.com][cae53cb8]license.raasv2
%ProgramFiles%\java\jre1.8.0_77\readme.txt в %ProgramFiles%\java\jre1.8.0_77\[decryption.helper@aol.com][cae53cb8]readme.txt.raasv2
%ProgramFiles%\java\jre1.8.0_77\release в %ProgramFiles%\java\jre1.8.0_77\[decryption.helper@aol.com][cae53cb8]release.raasv2
%ProgramFiles%\java\jre1.8.0_77\thirdpartylicensereadme-javafx.txt в %ProgramFiles%\java\jre1.8.0_77\[decryption.helper@aol.com][cae53cb8]thirdpartylicensereadme-javafx.txt.raasv2
%ProgramFiles%\java\jre1.8.0_77\thirdpartylicensereadme.txt в %ProgramFiles%\java\jre1.8.0_77\[decryption.helper@aol.com][cae53cb8]thirdpartylicensereadme.txt.raasv2
%ProgramFiles%\java\jre1.8.0_77\welcome.html в %ProgramFiles%\java\jre1.8.0_77\[decryption.helper@aol.com][cae53cb8]welcome.html.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\awt.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]awt.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\bci.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]bci.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\dcpr.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]dcpr.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\decora_sse.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]decora_sse.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\deploy.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]deploy.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\dt_shmem.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]dt_shmem.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\dt_socket.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]dt_socket.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\eula.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]eula.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\fontmanager.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]fontmanager.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\fxplugins.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]fxplugins.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\glass.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]glass.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\gstreamer-lite.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]gstreamer-lite.dll.raasv2
%ProgramFiles%\java\jre1.8.0_77\bin\jfxmedia.dll в %ProgramFiles%\java\jre1.8.0_77\bin\[decryption.helper@aol.com][cae53cb8]jfxmedia.dll.raasv2

Сетевая активность

Подключается к

'google.com':443

TCP

Другие

'google.com':443

UDP

DNS ASK google.com

Другое

Создает и запускает на исполнение

'<SYSTEM32>\cmd.exe' /C attrib +h +s "<Полный путь к файлу>"' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C label K: Locked by Raas_v2' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C label L: Locked by Raas_v2' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C label M: Locked by Raas_v2' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C label N: Locked by Raas_v2' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C label O: Locked by Raas_v2' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C label I: Locked by Raas_v2' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C label J: Locked by Raas_v2' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C label P: Locked by Raas_v2' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C label S: Locked by Raas_v2' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C label T: Locked by Raas_v2' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C label U: Locked by Raas_v2' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C label V: Locked by Raas_v2' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C label X: Locked by Raas_v2' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C label Q: Locked by Raas_v2' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C label R: Locked by Raas_v2' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C label H: Locked by Raas_v2' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C label G: Locked by Raas_v2' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C label F: Locked by Raas_v2' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C vssadmin delete shadows /all /quiet' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C wbadmin DELETE SYSTEMSTATEBACKUP' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C wmic shadowcopy delete' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C wbadmin delete catalog -quiet' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C bcdedit /set {default} bootstatuspolicy ignoreallfailures' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C bcdedit /set {default} recoveryenabled no' (со скрытым окном)
'<SYSTEM32>\schtasks.exe' /create /f /sc ONLOGON /RL HIGHEST /tn "Chrome Update" /tr "C:\Users\EAF\svchost.exe"' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C netsh advfirewall set currentprofile state off' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C Reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /t REG_DWORD /d 1 /f' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C label A: Locked by Raas_v2' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C label B: Locked by Raas_v2' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C label C: Locked by Raas_v2' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C label D: Locked by Raas_v2' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C label E: Locked by Raas_v2' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C netsh firewall set opmode mode=disable' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C label Y: Locked by Raas_v2' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C label Z: Locked by Raas_v2' (со скрытым окном)

Запускает на исполнение

'<SYSTEM32>\cmd.exe' /C attrib +h +s "<Полный путь к файлу>"
'<SYSTEM32>\cmd.exe' /C label Q: Locked by Raas_v2
'<SYSTEM32>\label.exe' P: Locked by Raas_v2
'<SYSTEM32>\cmd.exe' /C label P: Locked by Raas_v2
'<SYSTEM32>\label.exe' O: Locked by Raas_v2
'<SYSTEM32>\cmd.exe' /C label O: Locked by Raas_v2
'<SYSTEM32>\label.exe' N: Locked by Raas_v2
'<SYSTEM32>\label.exe' Q: Locked by Raas_v2
'<SYSTEM32>\cmd.exe' /C label N: Locked by Raas_v2
'<SYSTEM32>\cmd.exe' /C label M: Locked by Raas_v2
'<SYSTEM32>\label.exe' L: Locked by Raas_v2
'<SYSTEM32>\cmd.exe' /C label L: Locked by Raas_v2
'<SYSTEM32>\label.exe' K: Locked by Raas_v2
'<SYSTEM32>\cmd.exe' /C label K: Locked by Raas_v2
'<SYSTEM32>\label.exe' J: Locked by Raas_v2
'<SYSTEM32>\label.exe' M: Locked by Raas_v2
'<SYSTEM32>\label.exe' V: Locked by Raas_v2
'<SYSTEM32>\notepad.exe' %APPDATA%\#FILES-ENCRYPTED.txt
'<SYSTEM32>\cmd.exe' /C label S: Locked by Raas_v2
'<SYSTEM32>\searchprotocolhost.exe' Global\UsGthrFltPipeMssGthrPipe3_ Global\UsGthrCtrlFltPipeMssGthrPipe3 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "%...
'<SYSTEM32>\label.exe' Z: Locked by Raas_v2
'<SYSTEM32>\cmd.exe' /C label Z: Locked by Raas_v2
'<SYSTEM32>\label.exe' Y: Locked by Raas_v2
'<SYSTEM32>\cmd.exe' /C label Y: Locked by Raas_v2
'<SYSTEM32>\label.exe' X: Locked by Raas_v2
'<SYSTEM32>\cmd.exe' /C label J: Locked by Raas_v2
'<SYSTEM32>\cmd.exe' /C label X: Locked by Raas_v2
'<SYSTEM32>\cmd.exe' /C label V: Locked by Raas_v2
'<SYSTEM32>\label.exe' U: Locked by Raas_v2
'<SYSTEM32>\cmd.exe' /C label U: Locked by Raas_v2
'<SYSTEM32>\label.exe' T: Locked by Raas_v2
'<SYSTEM32>\cmd.exe' /C label T: Locked by Raas_v2
'<SYSTEM32>\label.exe' S: Locked by Raas_v2
'<SYSTEM32>\cmd.exe' /C label R: Locked by Raas_v2
'<SYSTEM32>\label.exe' R: Locked by Raas_v2
'<SYSTEM32>\label.exe' I: Locked by Raas_v2
'<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /t REG_DWORD /d 1 /f
'<SYSTEM32>\cmd.exe' /C netsh advfirewall set currentprofile state off
'<SYSTEM32>\cmd.exe' /C bcdedit /set {default} recoveryenabled no
'<SYSTEM32>\bcdedit.exe' /set {default} bootstatuspolicy ignoreallfailures
'<SYSTEM32>\cmd.exe' /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
'<SYSTEM32>\vds.exe'
'<SYSTEM32>\wbengine.exe'
'<SYSTEM32>\cmd.exe' /C netsh firewall set opmode mode=disable
'<SYSTEM32>\wbadmin.exe' delete catalog -quiet
'<SYSTEM32>\cmd.exe' /C wmic shadowcopy delete
'<SYSTEM32>\wbadmin.exe' DELETE SYSTEMSTATEBACKUP
'<SYSTEM32>\cmd.exe' /C wbadmin DELETE SYSTEMSTATEBACKUP
'<SYSTEM32>\cmd.exe' /C vssadmin delete shadows /all /quiet
'<SYSTEM32>\schtasks.exe' /create /f /sc ONLOGON /RL HIGHEST /tn "Chrome Update" /tr "C:\Users\EAF\svchost.exe"
'<SYSTEM32>\attrib.exe' +h +s "<Полный путь к файлу>"
'<SYSTEM32>\cmd.exe' /C wbadmin delete catalog -quiet
'<SYSTEM32>\label.exe' D: Locked by Raas_v2
'<SYSTEM32>\label.exe' H: Locked by Raas_v2
'<SYSTEM32>\cmd.exe' /C label A: Locked by Raas_v2
'<SYSTEM32>\cmd.exe' /C label H: Locked by Raas_v2
'<SYSTEM32>\label.exe' G: Locked by Raas_v2
'<SYSTEM32>\cmd.exe' /C label G: Locked by Raas_v2
'<SYSTEM32>\label.exe' F: Locked by Raas_v2
'<SYSTEM32>\cmd.exe' /C label F: Locked by Raas_v2
'<SYSTEM32>\label.exe' E: Locked by Raas_v2
'<SYSTEM32>\cmd.exe' /C label I: Locked by Raas_v2
'<SYSTEM32>\cmd.exe' /C label E: Locked by Raas_v2
'<SYSTEM32>\cmd.exe' /C label D: Locked by Raas_v2
'<SYSTEM32>\label.exe' C: Locked by Raas_v2
'<SYSTEM32>\cmd.exe' /C label C: Locked by Raas_v2
'<SYSTEM32>\label.exe' B: Locked by Raas_v2
'<SYSTEM32>\cmd.exe' /C label B: Locked by Raas_v2
'<SYSTEM32>\label.exe' A: Locked by Raas_v2
'<SYSTEM32>\cmd.exe' /C Reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /t REG_DWORD /d 1 /f
'<SYSTEM32>\searchfilterhost.exe' 0 768 772 780 8192 776

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней