Decriptare fișiere criptate cu GandCrab
Când acest troian este executat, acesta se copiază în următorul fișier:
- %AppData%Microsoft[RANDOM NAME]
Troianul creează următoarea intrare din registry, astfel încât să ruleze de fiecare dată când Windows pornește:
- HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion RunOnce “[RANDOM STRING]” = “[CALEA PENTRU FIȘIERUL ENCRYPTED]”
În continuare, troianul încheie următoarele procese:
- msftesql.exe
- sqlagent.exe
- sqlbrowser.exe
- sqlservr.exe
- sqlwriter.exe
- oracle.exe
- ocssd.exe
- dbsnmp.exe
- synctime.exe
- mydesktopqos.exe
- agntsvc.exeisqlplussvc.exe
- xfssvccon.exe
- mydesktopservice.exe
- ocautoupds.exe
- agntsvc.exeagntsvc.exe
- agntsvc.exeencsvc.exe
- firefoxconfig.exe
- tbirdconfig.exe
- ocomm.exe
- mysqld.exe
- mysqld-nt.exe
- mysqld-opt.exe
- dbeng50.exe
- sqbcoreservice.exe
- excel.exe
- infopath.exe
- msaccess.exe
- mspub.exe
- onenote.exe
- outlook.exe
- powerpnt.exe
- steam.exe
- thebat.exe
- thebat64.exe
- thunderbird.exe
- visio.exe
- winword.exe
- wordpad.exe
Troianul se conectează apoi la următoarele locații:
- bleepingcomputer.bit
- nomoreransom.bit
- esetnod32.bit
- emsisoft.bit
- gandcrab.bit
În continuare, troianul criptează toate fișierele de pe computerul compromis, cu excepția cazului în care numele conține următoarele:
- ProgramData
- Program Files
- Tor Browser
- Ransomware
- All Users
- Local Settings
- desktop.ini
- autorun.inf
- ntuser.dat
- iconcache.db
- bootsect.bak
- ntuser.dat.log
- thumbs.db
- .sql
Troianul va lăsa următorul fișier în fiecare director care criptează fișierele:
- [PATH TO ENCRYPTED FILES]GDCB-DECRYPT.txt
În continuare, troianul afișează o notă de răscumpărare prin care informează utilizatorul că fișierele sale au fost criptate și furnizând instrucțiuni cu privire la modul în care aceștia ar putea plăti pentru a decripta fișierele.
[mai mult...]
