MSIL/Filecoder.CryptoJoker [Threat Name] go to Threat

MSIL/Filecoder.CryptoJoker.A [Threat Variant Name]

Category trojan
Size 115712 B
Detection created Jan 25, 2016
Detection database version 12922
Aliases Trojan-Ransom.MSIL.Joker.a (Kaspersky)
  Trojan.Encoder.3390 (Dr.Web)
Short description

MSIL/Filecoder.CryptoJoker.A is a trojan that encrypts files on local drives. To decrypt files the user is requested to comply with given conditions in exchange for a password/instructions.

Installation

The trojan does not create any copies of itself.


The trojan may create the following files:

  • %temp%\­winpnp.exe (5632 B)
  • %temp%\­sdajfhdfkj (0 B)

The trojan may set the following Registry entries:

  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Run]
    • "winpnp" = "%temp%\­winpnp.exe"
Payload information

MSIL/Filecoder.CryptoJoker.A is a trojan that encrypts files on local drives.


The trojan searches local drives for files with the following file extensions:

  • .asp
  • .aspx
  • .csv
  • .db
  • .doc
  • .docm
  • .docx
  • .html
  • .java
  • .jpeg
  • .jpg
  • .mdb
  • .odt
  • .pdf
  • .php
  • .png
  • .ppt
  • .pptm
  • .pptx
  • .psd
  • .sln
  • .sql
  • .txt
  • .xls
  • .xlsb
  • .xlsm
  • .xlsx
  • .xml

The trojan encrypts the file content.


The RSA, AES encryption algorithm is used.


The extension of the encrypted files is changed to:

  • %originalfilename%.crjoker

The trojan creates the following file:

  • %appdata%\­README!!!.txt22

It contains the following text:

You RSA key for CryptoJoker: %removed% Write to us on mail: %removed% Spare: %removed% or %removed% (TOR). You will certainly need to attach a file README ( it lockated on the desktop or in directory %TEMP% ).

The trojan creates the following files:

  • %temp%\­README!!!.txt
  • %temp%\­GetYouFiles.txt
  • C:\­Users\­%username%\­Desktop\­README!!!.txt

It contains the following text:

ENGLISH: Your personal files are encrypted with strongest RSA key! The encrypted files can only be unlocked  by a unique 2048-bit RSA private key. Yes! We really can decrypt your files. Write to us on mail: %removed% Spare: %removed% or %removed% (TOR). You will certainly need to attach a file README ( it lockated on the desktop or in directory %TEMP% ). And attach one of your any file ( only one ). That we show, what we can actually decrypt you files. Instructions for payment and decrypted file will be sent back. After payment we will send the key and decryptor. And remember, what you only have 72 hours to make a payment. You unique key: %removed% Good luck. RUSSIAN: Ваши личные файлы были зашифрованы при помощи криптостойкого RSA ключа! Расшифровать файлы можно зная уникальный, закрытый RSA ключ длиной 2048 бит, который есть только у нас. Да! Мы действительно можем расшифровать ваши файлы. Напишите нам на мейл: %removed% Запасные мейлы: %removed% или %removed% (TOR). К письму обязательно и непременно приложите файл README ( находится на рабочем столе или в папке %TEMP% ). И приложите ваш один зашифрованный файл ( только один ). Этим мы докажем, что действительно можем расшифровать ваши файлы. Инструкция для оплаты и расшифрованный файл будут высланы в обратном письме. После оплаты мы вышлем ваш ключ и дешифратор. И помните, у вас есть только 72 часа, чтобы произвести оплату. Ваш уникальный ключ: %removed% Удачи.

The trojan executes the following command:

  • notepad.exe %temp%\­README!!!.txt
Information stealing

The trojan collects the following information:

  • user name
  • computer name
  • computer IP address

The trojan attempts to send gathered information to a remote machine.


The trojan contains a URL address. The HTTP protocol is used in the communication.

Other information

The trojan may create the following files:

  • %temp%\­new.bat

The trojan may execute the following commands:

  • bcdedit.exe /set {default} recoveryenabled No
  • bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
  • vssadmin.exe delete shadows /all /quiet

Please enable Javascript to ensure correct displaying of this content and refresh this page.