Ransom.Win32.EMBARGO.THEAFBD

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Fügt die folgenden Prozesse hinzu:

• "%System%\cmd.exe" /q /c bcdedit /set {default} recoveryenabled no

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• LoadUpOnGunsBringYourFriends

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

• GxCIMgr$
• MVArmor$
• VSNAPVSS$
• VeeamNFSSvc$
• QBCFMonitorService$
• GxVssHWProv$
• QBDBMgrN$
• BackupExecRPCService$
• VeeamTransportSvc$
• MVarmor64$
• SAPHostControl$
• SAPHostExec$
• QBCFMonitorService$
• MSExchange\$.*$
• AcronisAgent$
• VeeamTransportSvc$
• BackupExecVSSProvider$
• BackupExecManagementService
• SAPD\$$xecManagementSe
• QBIDPService$
• AcrSch2Svc$
• SAPService$
• SAPHostControl$
• BackupExecJobEngine$ce
• BackupExecRPCService$
• GxClMgrS$

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• agntsvc.exe
• dbeng50.exe
• dbsnmp.exe
• encsvc.exe
• excel.exe
• firefox.exe
• infopath.exe
• isqlplussvc.exe
• msaccess.exe
• mspub.exe
• mydesktopqos.exe
• mydesktopservice.exe
• notepad.exe
• ocautoupds.exe
• ocomm.exe
• ocssd.exe
• onenote.exe
• oracle.exe
• outlook.exe
• powerpoint.exe
• sqbcoreservice.exe
• sql.exe
• steam.exe
• synctime.exe
• tbirdconfig.exe
• thebat.exe
• thunderbird.exe
• visio.exe
• winword.exe
• wordpad.exe
• xfssvccon.exe
• *sql*.exe
• bedbh.exe
• vxmon.exe
• benetns.exe
• bengien.exe
• pvlsvr.exe
• beserver.exe
• raw_agent_svc.exe
• vsnapvss.exe
• CagService.exe
• vsnapvss.exe
• QBIDPService.exe
• QBDBMgrN.exe
• QBCFMonitorService.exe
• SAP.exe
• TeamViewer_Service.exe
• TeamViewer.exe
• tv_w32.exe
• tv_x64.exe
• cvd.exe
• cvfwd.exe
• cvods.exe
• saphostexec.exe
• saposcol.exe
• sapstartsrv.exe
• avscc.exe
• DellSystemDetect.exe
• EnterpriseClient.exe
• veeam*.exe
• VeeamNFSSvc.exe
• VeeamTransportSvc.exe
• VeeamDeploymentSvc.exe

Andere Details

Es macht Folgendes:

• It attempts to terminate running processes using the Restart Session Manager to encrypt the associated file as such will result to the following registry modification:
  • HKEY_CURRENT_USER\Software\Microsoft\RestartManager\Session0000
    Owner = {hex values}
  • HKEY_CURRENT_USER\Software\Microsoft\RestartManager\Session0000
    SessionHash = {hex values}
  • HKEY_CURRENT_USER\Software\Microsoft\RestartManager\Session0000
    Sequence = 0x01
  • HKEY_CURRENT_USER\Software\Microsoft\RestartManager\Session0000
    RegFiles{number} = {file}
  • HKEY_CURRENT_USER\Software\Microsoft\RestartManager\Session0000
    RegFilesHash = {hex values}