Ransom.Win32.BEAST.YPEGI

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Dateien ein:

• %User Temp%\default.key

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• BEAST HERE?

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

• AcronisAgent
• AcrSch2Svc
• backup
• BackupExecAgentAccelerator
• BackupExecAgentBrowser
• BackupExecDiveciMediaService
• BackupExecJobEngine
• BackupExecManagementService
• BackupExecRPCService
• BackupExecVSSProvider
• CAARCUpdateSvc
• CASAD2DWebSvc
• ccEvtMgr
• ccSetMgr
• DefWatch
• GxBlr
• GxCIMgr
• GxCVD
• GxFWD
• GxVss
• Intuit.QuickBooks.FCS
• memtas
• mepocs
• msexchange
• PDVFSService
• QBCFMonitorService
• QBFCService
• QBIDPService
• RTVscan
• SavRoam
• sophos
• sql
• stc_raw_agent
• svc$
• veeam
• VeeamDeploymentService
• VeeamNFSSvc
• VeeamTransportSvc
• VSNAPVSS
• vss
• wscsvc
• wuauserv
• YooBackup
• YooIT
• zhudongfangyu
• MSSQLFDLauncher
• MSSQLSERVER
• SQLSERVERAGENT
• SQLBrowser
• SQLTELEMETRY
• MsDtsServer130
• SSISTELEMETRY130
• SQLWriter
• MSSQL$VEEAMSQL2012
• SQLAgent$VEEAMSQL2012
• MSSQL
• SQLAgent
• MSSQLServerADHelper100
• MSSQLServerOLAPService
• MsDtsServer100
• ReportServer
• SQLTELEMETRY$HL
• TMBMServer
• MSSQL$PROGID
• MSSQL$WOLTERSKLUWER
• SQLAgent$PROGID
• SQLAgent$WOLTERSKLUWER
• MSSQLFDLauncher$OPTIMA
• MSSQL$OPTIMA
• SQLAgent$OPTIMA
• ReportServer$OPTIMA
• msftesql$SQLEXPRESS
• postgresql-x64-9.4

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• agntsvc.exe
• encsvc.exe
• isqlplussvc.exe
• apache.exe
• backup.exe
• dbeng50.exe
• dbsnmp.exe
• encsvc.exe
• excel.exe
• firefox.exe
• firefoxconfig.exe
• infopath.exe
• isqlplussvc.exe
• kingdee.exe
• msaccess.exe
• msftesql.exe
• mspub.exe
• mydesktopqos.exe
• mydesktopservice.exe
• mysqld-nt.exe
• mysqld-opt.exe
• mysqld.exe
• ncsvc.exe
• notepad.exe
• ocautoupds.exe
• ocomm.exe
• ocssd.exe
• onenote.exe
• oracle.exe
• outlook.exe
• powerpnt.exe
• sqbcoreservice.exe
• sql.exe
• sqlagent.exe
• sqlbrowser.exe
• sqlserver.exe
• sqlservr.exe
• sqlwriter.exe
• steam.exe
• synctime.exe
• tbirdconfig.exe
• thebat.exe
• thunderbird.exe
• tomcat.exe
• tomcat6.exe
• u8.exe
• ufida.exe
• visio.exe
• winword.exe
• wordpad.exe
• xfssvccon.exe