Ransom.Win32.MATRIX.AF
W32/Matrix.2FFD!tr.ransom (FORTINET); Trojan-Ransom.Matrix (IKARUS)
Windows
Malware-Typ:
Ransomware
Zerstrerisch?:
Nein
Verschlsselt?:
In the wild::
Ja
Überblick
Löscht Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden.
Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.
Technische Details
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:
- {Malware Path}\{random characters}.exe
Schleust die folgenden Dateien ein:
- {Malware Path}\ALL_CrDfLDmp.tmp
- {Malware Path}\log.txt
- %Application Data%\{random characters}.bmp → used as wallpaper
- %Application Data%\{random characters}.bat → contains commands to remove volume shadow copies and disable system recovery
- %Application Data%\{random characters}.vbs → contains commands to create scheduled task
- {Malware Path}\{random characters}.exe → used for file handle manipulation
- {Malware Path}\{random characters}.bat → contains commands to take ownership of a file
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)
Fügt die folgenden Prozesse hinzu:
- {Malware Path}\{8 random characters}.exe -n → if run without argument
Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:
- MutexABAT → if run without argument
- MutexABATDONW → if run with argument
Andere Systemänderungen
Löscht die folgenden Dateien:
- %Application Data%\{random characters}.vbs
- %Application Data%\{random characters}.bat
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)
Ändert das Hintergrundbild des Desktops durch Abänderung der folgenden Registrierungseinträge:
HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %Application Data%\{random characters}.bmp
HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = 0
HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = 0
Stellt auf dem System das folgende Bild als Desktop-Hintergrundbild ein:
Andere Details
Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:
- http://{BLOCKED}u.host/addrecord.php?apikey=abat_api_key&compuser={username}-PC{username}&sid=Q8x0bgxGTfMRkCsQ&phase=START
Verschlüsselt Dateien mit den folgenden Erweiterungen:
- .mdf
- .ndf
- .ldf
- .myd
- .eql
- .sql
- .vhd
- .sqlite
- .sqlite3
- .sqlitedb
- .hwp
- .hwt
- .hml
- .hwdt
- .hwpx
- .cell
- .nxl
- .hcdt
- .nxts
- .how
- .hpt
- .hsdt
- .xlsx
- .xls
- .docx
- .doc
- .dot
- .dotx
- .odt
- .ods
- .bak
- .tib
- .dbs
- .db
- .dbk
- .db2
- .db3
- .dbc
- .dt
- .dbs
- .dbf
- .dbx
- .mdb
- .sdf
- .ndf
- .ns2
- .ns3
- .ns4
- .nsf
- .accdb
- .vpd
- .dwg
- .cdr
- .jpg
- .jpeg
- .psd
- .zip
- .rar
- .7z
- .tar
- .gz
Lösungen
Step 2
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 3
Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.
Step 4
Im abgesicherten Modus neu starten
Step 5
Desktop-Eigenschaften zurücksetzen
Step 6
Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als Ransom.Win32.MATRIX.AF entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Step 7
Restore encrypted files from backup.
Step 8
Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als Ransom.Win32.MATRIX.AF entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Step 9
Diese Dateien suchen und löschen
- {Malware Path}\{random characters}.exe
- {Malware Path}\ALL_CrDfLDmp.tmp
- {Malware Path}\log.txt
- %Application Data%\{random characters}.bmp
- {Malware Path}\{random characters}.exe
- {Malware Path}\{random characters}.bat
- {Encrypted Directory}\#ABAT_INFO#.rtf
- {Malware Path}\{random characters}.exe
- {Malware Path}\ALL_CrDfLDmp.tmp
- {Malware Path}\log.txt
- %Application Data%\{random characters}.bmp
- {Malware Path}\{random characters}.exe
- {Malware Path}\{random characters}.bat
- {Encrypted Directory}\#ABAT_INFO#.rtf
Nehmen Sie an unserer Umfrage teil