Ransom.MSIL.HAVANACRYPT.THFACBB

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
GoogleUpdate = %ProgramData%\{Random Characters}.exe

Schleust die folgenden Dateien in den benutzerspezifischen Autostart-Ordner von Windows ein, um sich selbst bei jedem Systemstart auszuführen.

• %User Startup%\{Random Characters}.exe → copy of itself
• %User Startup%\vallo.bat → Disables Task Manager

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT, C:\Documents and Settings\{Benutzername}\Startmenü\Programme\Autostart unter Windows 2003(32-bit), XP und 2000(32-bit) und C:\Users\{Benutzername}\AppData\Roaming\Microsoft\Windows\Startmenü\Programme\Autostart unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• agntsvc
• agntsvc
• axlbridge
• ccevtmgr
• ccsetmgr
• contoso1
• culserver
• culture
• dbeng50
• dbeng8
• dbsnmp
• dbsrv12
• dbsrv12
• defwatch
• defwatch
• encsvc
• excel
• fdlauncher
• firefoxconfig
• httpd
• infopath
• isqlplussvc
• msaccess
• msdtc
• msdtsrvr
• msftesql
• msmdsrv
• mspub
• mssql
• mssqlserver
• mydesktopqos
• mydesktopservice
• mysqld
• mysqld-nt
• mysqld-opt
• ocautoupds
• ocomm
• ocssd
• onenote
• oracle
• outlook
• powerpnt
• qbcfmonitorservice
• qbcfmonitorservice
• qbdbmgr
• qbidpservice
• qbidpservice
• qbupdate
• qbw32
• quickboooks.fcs
• ragui
• rtvscan
• rtvscan
• savroam
• sqbcoreservice
• sqladhlp
• sqladhlp
• sqlagent
• sqlagent
• sqlbrowser
• sqlbrowser
• sqlserv
• sqlserveragent
• sqlservr
• sqlwriter
• sqlwriter
• steam
• supervise
• synctime
• tbirdconfig
• thebat
• thebat64
• thunderbird
• tomcat6
• tomcat6
• vds
• visio
• vmware-converter
• vmware-converter
• vmware-usbarbitator64
• vmware-usbarbitator64
• winword
• winword
• word
• wordpad
• wrapper
• wxserver
• wxserverview
• xfssvccon
• zhudongfangyu
• zhundongfangyu

Datendiebstahl

Folgende Daten werden gesammelt:

• Username
• Token
• Date
• RAM information
• OS Information

Entwendete Daten

Sendet die gesammelten Daten über HTTP-POST an den folgenden URL:

• http://{BLOCKED}.{BLOCKED}.128.33/index.php

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• http://{BLOCKED}.{BLOCKED}.128.33/ham.php

Es macht Folgendes:

• It terminates itself if it finds the following virtual machine/sandbox artifacts in the affected system:
  
  • %System%\Drivers\Vmmouse.sys
  • %System%\Drivers\vm3dgl.dll
  • %System%\Drivers\vmdum.dll
  • %System%\Drivers\vm3dver.dll
  • %System%\Drivers\vmtray.dll
  • %System%\Drivers\VMToolsHook.dll
  • %System%\Drivers\vmmousever.dll
  • %System%\Drivers\vmhgfs.dll
  • %System%\Drivers\vmGuestLib.dll
  • %System%\Drivers\VmGuestLibJava.dll
  • %System%\Driversvmhgfs.dll
  • %System%\Drivers\VBoxMouse.sys
  • %System%\Drivers\VBoxGuest.sys
  • %System%\Drivers\VBoxSF.sys
  • %System%\Drivers\VBoxideo.sys
  • %System%\vboxdisp.dll
  • %System%\voxhook.dll
  • %System%\vboxmrxnp.dll
  • %System%\vboxogl.dll
  • %System%\vboxoglarraysp.dll
  • %System%\vboxoglcrutil.dll
  • %System%\vboxoglerrorspu.dll
  • %System%\vboxoglfeedbackspu.dll
  • %System%\vboxoglpackspu.dll
  • %System%\vboxoglpassthroughspu.dll
  • %System%\vboxservice.exe
  • %System%\vboxtray.exe
  • %System%\VBoxControl.exe
• It terminates itself if services found running in the affected system:
  
  • VMTools
  • Vmhgfs
  • VMMEMCTL
  • Vmmouse
  • Vmrawdsk
  • Vmusbmouse
  • Vmvss
  • Vmscsi
  • Vmxnet
  • vmx_svga
  • Vmware Tools
  • Vmware Physical Disk Helper Service
• It terminates itself when executed in the following environments:
  • VMware ESX,VMware GSX Server
  • Standalone VMware vSphere
  • VMware Wrokstation
  • VMware Horizon
  • VMware
  • VMware vSphere
  • VMware ESX Server
  • Oracle VirtualBox 5.2
• It terminates itself if it finds the following processes in the affected system's memory:
  
  • vmtoolsd.exe
  • vmwaretrat.exe
  • vmwareuser.exe
  • vmacthlp.exe
  • vboxservice.exe
  • vboxtray.exe
  • vbox.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)