Yeni varyantında dosyalarınızın uzantısını .payransom olarak değiştirmektedir.
Bulaştığı dosyalar:
Kod:
%UserProfile%\AppData\Local\Systmd\systmd.exe
%UserProfile%\AppData\Roaming\System32Work\
%UserProfile%\AppData\Roaming\System32Work\Address.txt
%UserProfile%\AppData\Roaming\System32Work\dr
%UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt
%UserProfile%\AppData\Roaming\Wrkms\
%UserProfile%\AppData\Roaming\Wrkms\wrkms.exe
Bulaştığı reg kaydı:
Kod:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\wrkms.exe %UserProfile%\AppData\Roaming\Wrkms\wrkms.exe
Önceki varyantında olduğu gibi bu araçla yine çözüm sağlanmıştır.
Deşifre edilmeden önce %UserProfile%\AppData\Roaming\Wrkms\wrkms.exe ve %UserProfile%\AppData\Local\Systmd\systmd.exe kayıtları msconfig'den devre dışı bırakılmalıdır.