Trojaner-Board - Windows 8 Genuine Advantage Lizenz Ransom

Windows 8 Genuine Advantage Lizenz Ransom

Eine neue ransom ware treibt im moment ihr unwesen

Code:

SHA256:

edd206f8a0f7793261124ea3b8c98da1b4efec294d7b05e3d9403e3e1448d4cd

 

SHA1:

b1f2fb8f3df24c055fd4e478878148ed9db80ac9

 

MD5:

82b192b07b32d0e77b1f2b21f17283e6

 

File size:

381.8 KB ( 390931 bytes ) 

 

File name:

go.exe

 

File type:

Win32 EXE

 

TR/AvKill.CW

Trojan.AVKill.CW

Trojan.Ransom.st

Win32/LockScreen.AML

Trojan.AVKill.CW

Trojan-Ransom.Win32.Autoit.f

https://www.virustotal.com/file/edd2...d4cd/analysis/

zur verteilung wird anscheinen das Sweet Orange Exploit Pack verwendet, welches verschiedenste Exploits für Java, Flash, Internet Explorer und andere bereit hält.

angezeigter text:

Zitat:

Windows Genuine Advantage-Benachrichtigungen ist ein Bestandteil des
Bemühens von Microsoft, Softwarepiraterie einzudämmen.
Diese Software hilft dabei, zu bestimmen, ob es sich bei der auf Ihrem
Computer installierten
Windows Version um eine Originalversion oder Raubkopie handelt.
Leider konnte diese Prüfung nicht erfolgreich abgeschlossen werden,
daher wurde der Zugriff auf
Ihren Computer temporär gesperrt.
Als Gründe hierfür gelten eine abgelaufene oder mehrfach verwendete
Windows-Lizenz, sowie eine illegal erworbene Windows-Lizenz (Raubkopie).
Um den Zugang zu Ihrem PC und den darauf befindlichen Daten wieder zu
erlangen, können Sie
über das Bezahlfeld eine neue Original-Lizenz erwerben.
Um eine Lizenz zu erhalten, erwerben Sie bitte einen Code eines unserer
offiziellen Partner Paysafecard oder ukash und geben Sie diesen in das
unten vorgesehene
Fenster ein und
bestätigen Sie mit "OK".
Eine Lizenzierung erfolgt automatisch innerhalb der nächsten 12 Stunden,
bitte lassen Sie Ihren Computer in dieser Zeit eingeschaltet, damit der
Vorgang
durchgeführt werden kann.
Falls Sie ein Upgrade auf Windows 8 wünschen, ist dies zu einem
Einführungspreis von nur 100 € möglich.

Vielen Dank für das in Windows und Microsoft gesetze Vertrauen.

http://img.trojaner-board.de/Win8-Ra...n-8-ransom.png

Bei den englischen Variannten, wird ein neus Zahlsystem hinzugefügt: UGC
ultimategamecard.com

Folgene Files werden erstellt:

Dropper:
C:\amOADs.exe

dropped files:
C:\Documents and Settings\Administrator\Application Data1.exe
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\ja.lnk

Folgener Autostart Schlüssel wird generiert:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"C:\Documents and Settings\Administrator\Application Data1.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
AlternateShell
"C:\Documents and Settings\Administrator\Application Data1.exe"

Achtung, evtl. können sich Dateinamen ändern.
außerdem wird die UAC deaktiviert:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
"0"

außerdem wird das Kontextmenü im IE und auf dem Desktop deaktiviert:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\InternetExplorer\Restrictions
NoBrowserContextMenu=1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoViewContextMenu=1

Wer sich mit dieser Malware infiziert, kann bei uns in den entsprechenen unterforen hilfe erhalten: http://www.trojaner-board.de/69886-a...-beachten.html
Außerdem kann man sich schützen, in dem man programme wie Secunia und Sandboxie nutzt.