RANSOM_CRYPTOLUCK.A

如需此「間諜程式」的快速全面一覽，請參閱下面的「安全威脅圖表」。

它可能是用户在访问恶意网站时在无意中下载而来。 它可能是使用者手動安裝的。

它连接到某个网站，发送和接收信息。 如果检测到自身在虚拟环境中运行，它将终止运行。

新病毒详细信息

它可能是用户在访问恶意网站时在无意中下载而来。

它可能是使用者手動安裝的。

安装

它植入下列组件文件：

• {path of encrypted files}\@WARNING_FILES_ARE_ENCRYPTED.{victim id}.txt ← ransom note
• %Application Data%\76ff\crp.cfg ← configuration file
• %Application Data%\76ff\goopdate.ini ← ransom note

(注意: %Application Data% 是当前用户的 Application Data 文件夹，通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。)

它植入和执行下列文件：

• %Application Data%\76ff\GoogleUpdate.exe ← loader
• %Application Data%\76ff\goopdate.dll ← encryptor (Ransom_CryptoLuck.A)

(注意: %Application Data% 是当前用户的 Application Data 文件夹，通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。)

它创建下列文件夹：

• %Application Data%\76ff

(注意: %Application Data% 是当前用户的 Application Data 文件夹，通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。)

它添加下列互斥条目，确保一次只会运行一个副本：

• CryptoLuck_Instance

自启动技术

它添加下列注册表项，在系统每次启动时自行执行：

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
GoogleUpdate.exe = "%Application Data%\76ff\GoogleUpdate.exe"

其他系统修改

它添加下列注册表键值:

HKEY_CURRENT_USER\Software\sosad_{victim id}

HKEY_CURRENT_USER\Software\sosad_{victim id}
conf = {config file}

HKEY_CURRENT_USER\Software\sosad_{victim id}\
files
{full filename of encrypted files} = {flag}

其他详细信息

它连接到下列网站，发送和接收信息：

• http://{BLOCKED}ares.top/two/index.php

它使用下列扩展名加密文件：

• .3ds
• .3fr
• .4db
• .4dd
• .7z
• .7zip
• .accdb
• .accdt
• .aep
• .aes
• .ai
• .apk
• .arch00
• .arj
• .arw
• .asset
• .bar
• .bay
• .bc6
• .bc7
• .big
• .bik
• .bkf
• .bkp
• .blob
• .bpw
• .bsa
• .cas
• .cdr
• .cer
• .cfr
• .cr2
• .crp
• .crt
• .crw
• .csv
• .d3dbsp
• .das
• .dazip
• .db0
• .dba
• .dbf
• .dbx
• .dcr
• .der
• .desc
• .dmp
• .dng
• .doc
• .docm
• .docx
• .dot
• .dotm
• .dotx
• .dwfx
• .dwg
• .dwk
• .dxf
• .dxg
• .eml
• .epk
• .eps
• .erf
• .esm
• .fdb
• .ff
• .flv
• .forge
• .fos
• .fpk
• .fsh
• .gdb
• .gho
• .gpg
• .gxk
• .hkdb
• .hkx
• .hplg
• .hvpl
• .ibank
• .icxs
• .idx
• .ifx
• .indd
• .iso
• .itdb
• .itl
• .itm
• .iwd
• .iwi
• .jpe
• .jpeg
• .jpg
• .js
• .kdb
• .kdbx
• .kdc
• .key
• .kf
• .ksd
• .layout
• .lbf
• .litemod
• .lrf
• .ltx
• .lvl
• .m2
• .map
• .max
• .mcmeta
• .mdb
• .mdbackup
• .mddata
• .mdf
• .mef
• .menu
• .mlx
• .mpd
• .mpp
• .mpqge
• .mrwref
• .msg
• .myo
• .nba
• .nbf
• .ncf
• .nrw
• .nsf
• .ntl
• .nv2
• .odb
• .odc
• .odm
• .odp
• .ods
• .odt
• .ofx
• .orf
• .p12
• .p7b
• .p7c
• .pak
• .pdb
• .pdd
• .pdf
• .pef
• .pem
• .pfx
• .pgp
• .pkpass
• .ppj
• .pps
• .ppsx
• .ppt
• .pptm
• .pptx
• .prproj
• .psd
• .psk
• .pst
• .psw
• .ptx
• .py
• .qba
• .qbb
• .qbo
• .qbw
• .qdf
• .qfx
• .qic
• .qif
• .r3d
• .raf
• .rar
• .raw
• .rb
• .re4
• .rgss3a
• .rim
• .rofl
• .rtf
• .rw2
• .rwl
• .saj
• .sav
• .sb
• .sdc
• .sdf
• .sid
• .sidd
• .sidn
• .sie
• .sis
• .sko
• .slm
• .snx
• .sql
• .sr2
• .srf
• .srw
• .sum
• .svg
• .sxc
• .syncdb
• .t12
• .t13
• .tar
• .tax
• .tbl
• .tib
• .tor
• .txt
• .upk
• .vcf
• .vcxproj
• .vdf
• .vfs0
• .vpk
• .vpp_pc
• .vtf
• .w3x
• .wallet
• .wb2
• .wdb
• .wotreplay
• .wpd
• .wps
• .x3f
• .xf
• .xlk
• .xls
• .xlsb
• .xlsm
• .xlsx
• .xxx
• .zip
• .ztmp

它使用下列名称重命名加密文件：

• {filename}.{victim id}_luck

如果检测到自身在虚拟环境中运行，它将终止运行。