Ransom.Win32.HIVE.YXCC4Z

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Dateien ein:

• %Windows%\Logs\WindowsBackup\Wbadmin.0.etl
• {Drive Letter}:\{8 random characters}.key
• {Drive Letter}:\HOW_TO_DECRYPT.txt

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Fügt die folgenden Prozesse hinzu:

• %System%\vssadmin.exe delete shadows /all /quiet
• %System%\Wbem\wmic.exe shadowcopy delete
• %System%\wbadmin.exe delete systemstatebackup
• %System%\wbadmin.exe delete catalog -quiet
• %System%\bcdedit.exe /set {default} recoveryenabled No
• %System%\bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
• %System%\wbadmin.exe delete systemstatebackup -keepVersions:3
• %System%\notepad.exe HOW_TO_DECRYPT.txt

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

• WinDefend
• MsMpSvc
• kavsvc
• DrWebCom
• AntiVirService
• ZhuDongFangYu
• VMM
• Vmwp
• sql
• sap
• oracle
• mepocs
• memtas
• veeam
• backup
• sql
• vss
• msexchange
• mysql
• sophos
• Exchange
• PDVFSService
• BackupExec
• GxBlr
• GxVss
• GxClMgrS
• GxVCD
• GxCIMgr
• GXMMM
• GxVssHWProv
• GxFWD
• SAP
• QBCFMonitorService
• AcronisAgent
• Veeam
• MVArmor
• VSNAPVSS
• AcrSch2Svc

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• agntsvc
• dbeng50
• dbsnmp
• encsvc
• excel
• firefox
• infopath
• isqlplussvc
• msaccess
• mspub
• mydesktopqos
• mydesktopservice
• notepad
• ocautoupds
• ocomm
• ocssd
• onenote
• oracle
• outlook
• powerpnt
• sqbcoreservice
• vxmon
• benetns
• bengien
• pvlsvr
• beserver
• raw_agent_svc
• vsnapvss
• CagService
• QBIDPService
• QBDBMgrN
• QBCFMonitorService
• SAP
• TeamViewer_Service
• TeamViewer
• tv_w32
• tv_x64
• CVMountd
• cvd
• cvfwd
• CVODS
• saphostexec
• saposcol
• sapstartsrv
• avagent
• avscc
• DellSystemDetect
• EnterpriseClient
• Veeam

Andere Details

Es macht Folgendes:

• It encrypts files with file size above 4000 bytes.
• It appends the file extension {8 random characters}-{11 random characters} to files with the following file extensions:
  • sql
  • txt
  • rtf
  • xml
  • pdf
  • xls
  • xlsx
  • doc
  • docx