BAT/Filecoder [Threat Name] go to Threat

BAT/Filecoder.B [Threat Variant Name]

Category trojan
Size 95316 B
Detection created May 20, 2014
Detection database version 10046
Aliases Trojan-Ransom.BAT.Scatter.s (Kaspersky)
  Ransom:BAT/Xibow.A (Microsoft)
Short description

BAT/Filecoder.B is a trojan that encrypts files on fixed, removable and network drives. To restore files to their original state the user is requested to send an e-mail to a specified address in exchange for a password/instructions.

Installation

The trojan creates the following files:

  • %temp%\­csrss.bat
  • %temp%\­iconv.dll
  • %temp%\­svchost.exe
  • %temp%\­uncrypt.t
  • %temp%\­gnupg\­pubring.bak
  • %temp%\­gnupg\­pubring.gpg
  • %temp%\­gnupg\­random_seed
  • %temp%\­gnupg\­trustdb.gpg
  • %appdata%\­gnupg\­pubring.bak
  • %appdata%\­gnupg\­pubring.gpg
  • %appdata%\­gnupg\­random_seed
  • %appdata%\­gnupg\­trustdb.gpg
  • c:\­КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
  • %userprofile%\­desktop\­КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
  • %userprofile%\­documents\­КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
  • %userprofile%\­Рабочий стол\­КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
Payload information

BAT/Filecoder.B is a trojan that encrypts files on fixed, removable and network drives.


The trojan searches for files with the following file extensions:

  • .bmp
  • .doc
  • .rtf
  • .xls
  • .docx
  • .xlsx
  • .pdf
  • .cs
  • .jpg
  • .jpeg
  • .gif
  • .cdr
  • .cpt
  • .psd
  • .rar
  • .zip
  • .7z
  • .ppt
  • .pptx
  • .mp3
  • .ogg
  • .edb
  • .1cd
  • .dt

The trojan encrypts the file content.


The RSA encryption algorithm is used.


The extension of the encrypted files is changed to:

  • .crypt

The trojan deletes the original file.


To restore files to their original state the user is requested to send an e-mail to a specified address in exchange for a password/instructions.


The trojan creates the following file:

  • КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT

It contains the following text:

  • Ваш компьютер был атакован опаснейшим вирусом.
  • Вся Ваша информация на этом компьютере была зашифрована
  • с помощью самого криптостойкого алгоритма в мире RSA-1024.
  • Восстановить файлы можно только при помощи программы обратной дешифрации, которая есть только у нас. Чтобы её получить, Вам необходимо
  • написать нам письмо на адрес:
  • unlocker@m%removed%.com
  • При попытке расшифровки без нашей программы файлы могут повредиться!
  • Письма с угрозами будут угрожать только Вам и Вашим файлам! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
  • При поступлении угроз в наш адрес, Ваши данные не будут расшифрованы.
  • Обращаем внимание, что файлы можно расшифровать только с использованием специалного программного обеспечения, которое есть только у нас.
Other information

The following files are deleted:

  • %appdata%\­gnupg\­pubring.bak
  • %appdata%\­gnupg\­pubring.gpg
  • %appdata%\­gnupg\­random_seed
  • %appdata%\­gnupg\­trustdb.gpg
  • %temp%\­*.*

Please enable Javascript to ensure correct displaying of this content and refresh this page.