Analisado por: Nikko Tamana   
 

DeepScan:Generic.Ransom.Amnesia.F42DEF8A (Bitdefender), Trj/RansomCrypt.D (Panda)

 Plataforma:

Windows

 Classificao do risco total:
 Potencial de dano:
 infecção relatada:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Ransomware

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral


  Detalhes técnicos

Tipo de compactação: 67072 bytes
Tipo de arquivo: EXE
Data de recebimento das amostras iniciais: 02 novembro 2017

Installation

Schleust die folgenden Dateien ein:

  • %User Temp%\{GUID}.bat

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %Application Data%\Ghrome.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

  • %System%\cmd.exe /c vssadmin Delete Shadows /for=C: /All
  • %System%\cmd.exe /c vssadmin Delete Shadows /for=D: /All
  • %System%\cmd.exe /c vssadmin Delete Shadows /for=E: /All
  • %System%\cmd.exe /c vssadmin Delete Shadows /for=F: /All
  • %System%\cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
  • %System%\cmd.exe /c wmic SHADOWCOPY DELETE
  • %System%\cmd.exe /c vssadmin Delete Shadows /All /Quiet
  • %System%\cmd.exe /c bcdedit /set {default} recoveryenabled No
  • %System%\cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Hinterlässt Textdateien, um Lösegeld durch folgenden Inhalt zu erpressen:

  • {encrypted file path}\HOW TO RECOVER ENCRYPTED FILES.TXT

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKCU\Software\Microsoft\
Windows\CurrentVersion\RunOnce
{B5135AD2-D7D9-FFDC-0A8E-143026FB1938} = %Application Data%\Ghrome.exe

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKCU\Software\{B5135AD2-D7D9-FFDC-0A8E-143026FB1938}