Ransom.Win32.GANDCRAB.TIOIBOBR

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen. Löscht sich nach der Ausführung selbst.

Installation

Schleust die folgenden Dateien ein:

• %User Temp%\bxmeoengtf.bmp
• {Encrypted Folder}\{Random}-MANUAL.txt

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• BitHuender

Andere Systemänderungen

Ändert das Hintergrundbild des Desktops durch Abänderung der folgenden Registrierungseinträge:

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%User Temp%\bxmeoengtf.bmp"

Stellt auf dem System das folgende Bild als Desktop-Hintergrundbild ein:

Prozessbeendigung

Beendet die folgenden Prozesse, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• sqlbrowser.exe
• sqlwriter.exe
• oracle.exe
• ocssd.exe
• dbsnmp.exe
• synctime.exe
• agntsvc.exe
• isqlplussvc.exe
• xfssvccon.exe
• sqlservr.exe
• mydesktopservice.exe
• ocautoupds.exe
• encsvc.exe
• firefoxconfig.exe
• tbirdconfig.exe
• mydesktopqos.exe
• ocomm.exe
• mysqld.exe
• mysqld-nt.exe
• mysqld-opt.exe
• dbeng50.exe
• sqbcoreservice.exe
• excel.exe
• infopath.exe
• msaccess.exe
• mspub.exe
• onenote.exe
• outlook.exe
• powerpnt.exe
• steam.exe
• thebat.exe
• thebat64.exe
• thunderbird.exe
• visio.exe
• winword.exe
• wordpad.exe
• synctime.exe
• dbsnmp.exe
• oracle.exe
• sqlwriter.exe
• ocomm.exe
• sqlbrowser.exe
• sqlagent.exe
• thebat.exe
• isqlplussvc.exe
• msftesql.exe
• agntsvc.exe
• xfssvccon.exe
• sqlservr.exe
• mydesktopservice.exe
• ocautoupds.exe
• encsvc.exe
• firefoxconfig.exe
• tbirdconfig.exe
• mydesktopqos.exe
• ocssd.exe
• mysqld.exe
• mysqld-nt.exe
• mysqld-opt.exe
• dbeng50.exe
• sqbcoreservice.exe
• excel.exe
• mspub.exe
• infopath.exe
• msaccess.exe
• onenote.exe
• outlook.exe
• powerpnt.exe
• steam.exe
• msftesql.exe
• sqlagent.exe

Datendiebstahl

Folgende Daten werden gesammelt:

• Username
• Computer Name
• Network Information
• System Language
• Machine Keyboard Layout
• OS Version and Platform
• AV Products Installed
• Processor Information
• IP Address
• Drives Information (Nerwork or Local)
• Ransom ID
• GandCrab Internal Info:
  • id
  • sub_id
  • version
  • action

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• http://{URL}/{string1}/{string2}/{string3}.{string4}
• Where URL is equal to the following:
  
  • www.{BLOCKED}orp.link
  • www.{BLOCKED}rsport.biz
  • www.{BLOCKED}nau.biz
  • www.{BLOCKED}iinfissi.com
  • www.{BLOCKED}ck.biz
  • www.{BLOCKED}ay.biz
  • www.{BLOCKED}m.com
  • www.{BLOCKED}ellness.com
  • www.{BLOCKED}eisshorn.com
  • www.{BLOCKED}od.com
  • www.{BLOCKED}ckhoteldavos.com
  • www.{BLOCKED}ere-locarno.com
  • www.{BLOCKED}t
• Where string1 is equal to the following:
  • wp-content
  • statis
  • content
  • includes
  • data
  • uploads
  • news
• Where string2 is equal to the following:
  • images
  • pictures
  • image
  • graphic
  • assets
  • pics
  • imgs
  • tmp
• Where string3 is equal to the combination of the following:
  • im
  • de
  • ka
  • ke
  • am
  • es
  • so
  • fu
  • se
  • da
  • he
  • ru
  • me
  • mo
  • th
  • zu
• Where string4 is equal to the following:
  • jpg
  • png
  • gif
  • bmp

Löscht sich nach der Ausführung selbst.