Win32/Filecoder [Threat Name] go to Threat
Win32/Filecoder.F [Threat Variant Name]
| Category | trojan,worm |
| Size | 29696 B |
| Aliases | Trojan-Ransom.Win32.Xorist.i (Kaspersky) |
| Ransom!bq (McAfee) | |
| TROJ_RANSOM.HK (TrendMicro) |
Short description
Win32/Filecoder.F is a trojan that encrypts files on local drives.
Installation
The trojan does not create any copies of itself.
The following file is dropped into the %windir% folder:
- CryptLogFile.txt
Payload information
Win32/Filecoder.F is a trojan that encrypts files on local drives.
The trojan searches local drives for files with the following file extensions:
- .ace
- .bmp
- .cdr
- .djvu
- .doc
- .docm
- .docx
- .eps
- .gif
- .jpeg
- .jpg
- .lnk
- .max
- .mp3
- .msi
- .png
- .ppd
- .pps
- .ppsx
- .ppt
- .pptx
- .psd
- .rar
- .rtf
- .tif
- .tif
- .tiff
- .txt
- .wma
- .xls
- .xlsm
- .xlsx
- .xml
- .zip
The trojan encrypts the file content.
The trojan creates the following file:
- %systemdrive%\Прочти Меня - как расшифровать файлы.txt
It contains the following text:
Все Ваши файлы были заблокированы!
Чтобы разблокировать Ваш компьютер Вам нужно оплатить 400р. на наш кошелек 41001473616253 в системе яндекс.деньги через любой терминал.
После оплаты скан чека вышлите на email: razblokirovkakompa@gmail.com
После получения нами денег вы получите обратно в течение 24 часов на свой e-mail инструкцию по разблокировке компьютера.
Инструкция по пополнению нашего счета:
http://money.yandex.ru/i/shop/qiwi-instruction.jpg
Также вы можете оплатить любым другим способом, после оплаты в письме на e-mail напишите каким способом вы оплатили и в какое время.
The encrypted files can be returned to their original state using the following command:
- %malwarepath% ktyrsdfbakdbekhqvfy3183g2dvb