skip to Main Content

BKA-Trojaner: Ihr Internet Service Provider ist blockiert

Der BKA-Trojaner ist zurück!Revoyem DE 2013-05

Seit Mitte März wird die neue Ransomware-Familie Revoyem via Drive-By-Downloads auch in Deutschland verteilt.

Sobald die Ransomware ein System befallen hat, wird der Computer gesperrt und es erfolgt eine bildschirmfüllende Einblendung mit einem angeblichen Logo des deutschen Bundeskriminalamtes (Pressestelle). Die bildschirmfüllende Einblendung beinhaltet, neben einem funktionierenden Webcam-Fenster, vier Bilder mit kinderpornografischem Inhalt, die auch auf den Opfer-Rechner heruntergeladen werden. In der Einblendung wird dem Opfer mit einer entsprechenden Strafe gedroht, wenn nicht ein Lösegeld in Höhe von 100 Euro via Ukash oder Paysafecard bezahlt wird.

Revoyem

Hinweis: Das Bundeskriminalamt ist nicht Urheber der Meldung! Lassen Sie sich von der Einblendung und der Behauptung, dass „die Wiedergabe von pornografischen Inhalten mit Minderjährigen festgestellt“ worden sei, nicht einschüchtern und zu einer vermeintlichen Geldstrafe drängen.


Revoyem.exe (MD5: 06f041771579b59fc684d2f856040d18)
Submission date: 2013-05-03 11:00:44 UTC
Result: 23/45
Report


Download:
Revoyem.rar

Revoyem

Revoyem

Revoyem

Revoyem

Revoyem

Revoyem

Windows 7

Account Name: evild3ad | Account Type : Administrator

File System:
C:\Users\evild3ad\Desktop\Revoyem.exe
Injects svchost.exe or ctfmon.exe and executes C:\windows\system32\dllhost.exe

Registry:
It creates the following registry entries to allow it to automatically run every time Windows starts:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
→ Userinit = “C:\Windows\system32\Userinit.exe,C:\Users\evild3ad\Desktop\Revoyem.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Sysyem Cleaner = C:\Users\evild3ad\Desktop\Revoyem.exe

DNS Requests:
craigtropgr.biz (5.45.179.149:80) → killed on May 05, Thx to @_MDL_
ajax.googleapis.com
google.com
shell.view

HTTP Requests:
GET /gate/in.php?id=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx&os=6.1×32&bot_id=xxxxxx (Check-in)
GET /gate/DE/index.php?id=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx-&gr=bot_id (Geo-Redirector → Landing Page)
POST /gate/DE/index.php?id=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx-&gr=bot_id (Voucher Code wird übertragen)

Downloaded Files:
C:\Users\evild3ad\AppData\Local\Microsoft\Windows\
…Temporary Internet Files\Content.IE5\4V4ZS2LR\2[1].jpg (child pornography!)
…Temporary Internet Files\Content.IE5\4V4ZS2LR\bg-btn-sprite[1].png
…Temporary Internet Files\Content.IE5\4V4ZS2LR\dotted-small[1].png
…Temporary Internet Files\Content.IE5\4V4ZS2LR\esso[1].png
…Temporary Internet Files\Content.IE5\4V4ZS2LR\index[1].htm
…Temporary Internet Files\Content.IE5\4V4ZS2LR\jquery.jscrollpane[1].js
…Temporary Internet Files\Content.IE5\4V4ZS2LR\jquery.min[1].js
…Temporary Internet Files\Content.IE5\4V4ZS2LR\kash[1].png
…Temporary Internet Files\Content.IE5\4V4ZS2LR\omv[1].png
…Temporary Internet Files\Content.IE5\4V4ZS2LR\style-custom[1].css
…Temporary Internet Files\Content.IE5\4V4ZS2LR\total[1].png
…Temporary Internet Files\Content.IE5\5PMS9JJZ\4[1].jpg (child pornography!)
…Temporary Internet Files\Content.IE5\5PMS9JJZ\bg-box-bottom[1].png
…Temporary Internet Files\Content.IE5\5PMS9JJZ\bg-box[1].jpg
…Temporary Internet Files\Content.IE5\5PMS9JJZ\epay[1].png
…Temporary Internet Files\Content.IE5\5PMS9JJZ\logo[1].png
…Temporary Internet Files\Content.IE5\5PMS9JJZ\rossmann[1].png
…Temporary Internet Files\Content.IE5\5PMS9JJZ\webcam[1].png
…Temporary Internet Files\Content.IE5\5PMS9JJZ\westfalen[1].png
…Temporary Internet Files\Content.IE5\L9RCJ6E3\3[1].jpg (child pornography!)
…Temporary Internet Files\Content.IE5\L9RCJ6E3\aral[1].png
…Temporary Internet Files\Content.IE5\L9RCJ6E3\bg-html[1].jpg
…Temporary Internet Files\Content.IE5\L9RCJ6E3\bg-li[1].png
…Temporary Internet Files\Content.IE5\L9RCJ6E3\charge[1].png
…Temporary Internet Files\Content.IE5\L9RCJ6E3\dotted-copy[1].png
…Temporary Internet Files\Content.IE5\L9RCJ6E3\func[1].js
…Temporary Internet Files\Content.IE5\L9RCJ6E3\netto[1].png
…Temporary Internet Files\Content.IE5\L9RCJ6E3\oder[1].png
…Temporary Internet Files\Content.IE5\S8Y952LI\1[1].jpg (child pornography!)
…Temporary Internet Files\Content.IE5\S8Y952LI\agip[1].png
…Temporary Internet Files\Content.IE5\S8Y952LI\all[1].css
…Temporary Internet Files\Content.IE5\S8Y952LI\arrow[1].png
…Temporary Internet Files\Content.IE5\S8Y952LI\avia[1].png
…Temporary Internet Files\Content.IE5\S8Y952LI\bg-track[1].gif
…Temporary Internet Files\Content.IE5\S8Y952LI\dotted[1].png
…Temporary Internet Files\Content.IE5\S8Y952LI\jquery.mousewheel[1].js
…Temporary Internet Files\Content.IE5\S8Y952LI\paysafe[1].png
…Temporary Internet Files\Content.IE5\S8Y952LI\shell[1].png
…Temporary Internet Files\Content.IE5\S8Y952LI\x[1].jpg

Index


Index


Index


Links:
Bundeskriminalamt warnt vor einer neuen Variante von digitaler Erpressung
Botnets.fr – Revoyem
Revoyem entfernen

Back To Top