Ransom.Win32.GARRANTYCRYPT.C

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Dateien ein:

• %Application Data%\_uninstalling_.png → contains victims unique id
• %User Temp%\{random}.tmp.jpg → image to be set as wallpaper after encryption

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

• %Windows%\sysnative\vssadmin.exe delete shadows /all /quiet
• %Windows%\sysnative\cmd.exe /c bcdedit /set {current} bootstatuspolicy ignoreallfailures
• %Windows%\sysnative\cmd.exe /c bcdedit /set {current} recoveryenabled no
• %Windows%\sysnative\cmd.exe /c netsh advfirewall set allprofiles state off
• %System%\cmd.exe /c timeout 1 && del {malware filename} >> NUL

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

Andere Systemänderungen

Stellt auf dem System das folgende Bild als Desktop-Hintergrundbild ein:

Prozessbeendigung

Beendet die folgenden Prozesse, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• msftesql.exe
• sqlagent.exe
• sqlbrowser.exe
• sqlservr.exe
• sqlwriter.exe
• oracle.exe
• ocssd.exe
• dbsnmp.exe
• synctime.exe
• agntsvc.exe
• mydesktopqos.exe
• isqlplussvc.exe
• xfssvccon.exe
• mydesktopservice.exe
• ocautoupds.exe
• agntsvc.exe
• agntsvc.exe
• agntsvc.exe
• encsvc.exe
• firefoxconfig.exe
• tbirdconfig.exe
• ocomm.exe
• mysqld.exe
• mysqld-nt.exe
• mysqld-opt.exe
• dbeng50.exe
• sqbcoreservice.exe
• excel.exe
• infopath.exe
• msaccess.exe
• mspub.exe
• onenote.exe
• outlook.exe
• powerpnt.exe
• steam.exe
• thebat.exe
• thebat64.exe
• thunderbird.exe
• visio.exe
• winword.exe
• wordpad.exe
• sqlbrowser.exe
• sqlservr.exe
• TNSLSNR.EXE
• mysqld.exe
• MsDtsSrvr.exe
• sqlceip.exe
• msmdsrv.exe
• mpdwsvc.exe
• fdlauncher.exe
• Launchpad.exe
• chrome.exe
• oracle.exe
• devenv.exe
• PerfWatson2.exe
• ServiceHubHostNodex86.exe
• Node.exe
• MicrosoftVisualStudioWebHost.exe
• Lightshot.exe
• netbeans64.exe
• spnsrvnt.exe
• sntlsrtsrvr.exe
• w3wp.exe
• TeamViewer_Service.exe
• TeamViewer.exe
• SecomSDK.exe
• schedul2.exe
• schedhlp.exe
• adm_tray.exe
• EXCEL.EXE
• MSACCESS.EXE
• OUTLOOK.EXE
• POWERPNT.EXE
• AnyDesk.exe
• Microsoft.SqlServer.IntegrationServices.MasterServiceHost.exe
• Microsoft.SqlServer.IntegrationServices.WorkerAgentServiceHost.exe

Andere Details

Es macht Folgendes:

• Checks if the User uses the following languages:
  • Kazakh
  • Belarusian
  • Tajik
  • Kirghiz; Kyrgyz
  • Tatar
  • Azerbaijani
  • Armenian
  The malware will terminate if there is a match