RANSOM_KARMA.A

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen. Beendet sich selbst, falls festgestellt wird, dass die Ausführung in einer virtuellen Umgebung erfolgt.

Installation

Schleust die folgenden Dateien ein:

• {malware path}\pchelper.xml - used to create scheduled task
• %Desktop%\# DECRYPT MY FILES #.html - ransom note
• %Desktop%\# DECRYPT MY FILES #.txt - ransom note

(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein und führt sie aus:

• {malware path}\xRun.vbs
• {malware path}\updatehelper.vbs

Autostart-Technik

Die zeitgesteuerte Aufgabe führt die Malware in folgenden Intervallen aus:

• User logon

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Saffron = "%Desktop%\# DECRYPT MY FILES #.html"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Safron = "%Desktop%\# DECRYPT MY FILES #.txt"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer
auth = "{hex value}"

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• http://{BLOCKED}-tuneup.com/web293/xUser.php?
• http://{BLOCKED}xgg6ccmupd.onion/

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• .1cd
• .3dm
• .3ds
• .3fr
• .3g2
• .3gp
• .3gp2
• .3gpp
• .3pr
• .7z
• .7zip
• .aac
• .ab4
• .abd
• .acc
• .accda
• .accdb
• .accdc
• .accde
• .accdr
• .accdt
• .accdu
• .accdw
• .ace
• .ach
• .acr
• .act
• .adb
• .ade
• .adn
• .adp
• .ads
• .agdl
• .ai
• .aiff
• .ait
• .al
• .amr
• .aoi
• .apj
• .apk
• .arj
• .arw
• .asax
• .ascx
• .asf
• .ashx
• .asm
• .asmx
• .asp
• .aspx
• .asset
• .asx
• .atb
• .au
• .avi
• .awg
• .back
• .backup
• .backupdb
• .bak
• .bank
• .bay
• .bdb
• .bgt
• .bik
• .bin
• .bkp
• .blend
• .bmp
• .bpw
• .bsa
• .bz
• .bz2
• .c
• .caf
• .cash
• .cdb
• .cdf
• .cdr
• .cdr3
• .cdr4
• .cdr5
• .cdr6
• .cdrw
• .cdx
• .ce1
• .ce2
• .cer
• .cfg
• .cfn
• .cgm
• .cib
• .class
• .cls
• .cmt
• .config
• .contact
• .cpi
• .cpp
• .cr2
• .craw
• .crt
• .crw
• .cry
• .cs
• .csh
• .cshtml
• .csl
• .csproj
• .css
• .csv
• .d3dbsp
• .dac
• .das
• .dat
• .db
• .db_journal
• .db3
• .dbf
• .dbx
• .dc2
• .dcr
• .dcs
• .ddd
• .ddoc
• .ddrw
• .dds
• .def
• .der
• .des
• .design
• .dgc
• .dgn
• .dit
• .djvu
• .dng
• .doc
• .dochtml
• .docm
• .docx
• .docxml
• .dot
• .dothtml
• .dotm
• .dotx
• .drf
• .drw
• .dsw
• .dtd
• .dwg
• .dxb
• .dxf
• .dxg
• .edb
• .eml
• .eps
• .erbsql
• .erf
• .exf
• .fdb
• .fdf
• .ffd
• .fff
• .fh
• .fhd
• .fla
• .flac
• .flb
• .flf
• .flv
• .flvv
• .forge
• .fpx
• .fs
• .fsi
• .fsproj
• .fsscript
• .fsx
• .fxg
• .gbr
• .gho
• .gif
• .gray
• .grey
• .groups
• .gry
• .gz
• .h
• .hbk
• .hdd
• .hpp
• .htaccess
• .html
• .htpasswd
• .ibank
• .ibd
• .ibz
• .idx
• .iff
• .iif
• .iiq
• .incpas
• .indd
• .info
• .info_
• .ini
• .ipsw
• .iqy
• .iwi
• .jar
• .java
• .jnt
• .jpe
• .jpeg
• .jpg
• .js
• .json
• .k2p
• .kc2
• .kdbx
• .kdc
• .key
• .kpdx
• .kwm
• .laccdb
• .lbf
• .lck
• .ldf
• .lha
• .lit
• .litemod
• .litesql
• .lock
• .log
• .ltx
• .lua
• .lzh
• .m
• .m2ts
• .m3u
• .m4a
• .m4p
• .m4v
• .ma
• .mab
• .mapimail
• .master
• .max
• .mbx
• .md
• .mda
• .mdb
• .mdc
• .mdf
• .mdp
• .mdt
• .mef
• .mfw
• .mid
• .mkv
• .mlb
• .mmw
• .mny
• .money
• .moneywell
• .mos
• .mov
• .mp2
• .mp2v
• .mp3
• .mp4
• .mp4v
• .mpa
• .mpe
• .mpeg
• .mpg
• .mpg
• .mpga
• .mpv
• .mpv2
• .mrw
• .msf
• .msg
• .myd
• .nd
• .ndd
• .ndf
• .nef
• .nk2
• .nop
• .nrw
• .ns2
• .ns3
• .ns4
• .nsd
• .nsf
• .nsg
• .nsh
• .nvram
• .nwb
• .nx2
• .nxl
• .nyf
• .oab
• .obj
• .odb
• .odc
• .odf
• .odg
• .odm
• .odp
• .ods
• .odt
• .ogg
• .oil
• .omg
• .one
• .onepkg
• .onetoc
• .onetoc2
• .orf
• .ost
• .otg
• .oth
• .otp
• .ots
• .ott
• .p12
• .p7b
• .p7c
• .pab
• .pages
• .pas
• .pat
• .pbf
• .pcd
• .pct
• .pdb
• .pdd
• .pdf
• .pdfxml
• .pef
• .pem
• .pfx
• .php
• .pif
• .pl
• .plc
• .plus_muhd
• .pm
• .pm!
• .pmi
• .pmj
• .pml
• .pmm
• .pmo
• .pmr
• .pnc
• .pnd
• .png
• .pnx
• .pot
• .pothtml
• .potm
• .potm
• .potx
• .ppam
• .pps
• .ppsm
• .ppsm
• .ppsx
• .ppt
• .ppthtml
• .pptm
• .pptm
• .pptx
• .pptxml
• .prf
• .private
• .ps
• .psafe3
• .psd
• .pspimage
• .pst
• .ptx
• .pub
• .pwm
• .pwz
• .py
• .qba
• .qbb
• .qbm
• .qbr
• .qbw
• .qbx
• .qby
• .qcow
• .qcow2
• .qed
• .qtb
• .r00
• .r01
• .r3d
• .raf
• .ram
• .rar
• .rat
• .raw
• .rax
• .rdb
• .re4
• .resx
• .rm
• .rmm
• .rmvb
• .rp
• .rpt
• .rt
• .rtf
• .rvt
• .rw2
• .rwl
• .rwz
• .s3db
• .safe
• .sas7bdat
• .sav
• .save
• .say
• .sd0
• .sda
• .sdb
• .sdf
• .settings
• .sh
• .sldm
• .sldx
• .slk
• .slm
• .sln
• .sql
• .sqlite
• .sqlite3
• .sqlitedb
• .sqlite-shm
• .sqlite-wal
• .sr2
• .srb
• .srf
• .srs
• .srt
• .srw
• .st4
• .st5
• .st6
• .st7
• .st8
• .stc
• .std
• .sti
• .stl
• .stm
• .stw
• .stx
• .svg
• .swf
• .sxc
• .sxd
• .sxg
• .sxi
• .sxm
• .sxw
• .tar
• .tax
• .tbb
• .tbk
• .tbn
• .tex
• .tga
• .tgz
• .thm
• .tif
• .tiff
• .tlg
• .tlx
• .txt
• .upk
• .usr
• .utorrent
• .vb
• .vbe
• .vbhtml
• .vbox
• .vbproj
• .vbs
• .vcf
• .vcproj
• .vcs
• .vcxproj
• .vdi
• .vdx
• .vhd
• .vhdx
• .vmdk
• .vmsd
• .vmx
• .vmxf
• .vob
• .vpd
• .vsd
• .vsix
• .vss
• .vst
• .vsx
• .vtx
• .wab
• .wad
• .wallet
• .war
• .wav
• .wb2
• .wbk
• .web
• .wiz
• .wm
• .wma
• .wmf
• .wmv
• .wmx
• .wpd
• .wps
• .wsf
• .wvx
• .x11
• .x3f
• .xdp
• .xis
• .xla
• .xla
• .xlam
• .xlk
• .xlk
• .xll
• .xlm
• .xlr
• .xls
• .xlsb
• .xlsb
• .xlshtml
• .xlsm
• .xlsm
• .xlsx
• .xlt
• .xltm
• .xltm
• .xltx
• .xlw
• .xlw
• .xml
• .xps
• .xslt
• .xxx
• .ycbcra
• .yuv
• .zip

Benennt verschlüsselte Dateien in folgende Namen um:

• {host file}.karma

Beendet sich selbst, falls festgestellt wird, dass die Ausführung in einer virtuellen Umgebung erfolgt.