alexgrits
Gold Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Техническое описание
После запуска троянец создает следующий файл:
• [Путь к зашифрованным файлам] \ [Случайное расширение] -HOW-TO-DECRYPT.txt
После запуска троянец выдает следующие команды для удаления теневых томов и отключения восстановления при запуске Windows:
• "C: \ Windows \ System32 \ cmd.exe" / c vssadmin.exe Удалить тени / Все / Тихо & bcdedit / set {default} recoveryenabled Нет & bcdedit / set {default} bootstatuspolicy ignoreallfailures
Далее троянец шифрует файлы на скомпрометированном сервере. Троянец добавляет произвольное расширение к зашифрованным файлам, уникальное для каждого взломанного компьютера.
Троянец создает в каждой папке следующий файл с запиской о выкупе, содержащий зашифрованные файлы:
• [Путь к зашифрованным файлам] \ [Случайное расширение] -HOW-TO-DECRYPT.txt
Примечание о выкупе информирует пользователя о том, что его файлы были зашифрованы, и дает инструкции о том, как они могут заплатить за расшифровку файлов.
|
Всего записей: 7307 | Зарегистр. 23-11-2011 | Отправлено: 10:18 24-06-2019 | Исправлено: alexgrits, 10:22 24-06-2019 |
|
