Ransom.Win32.QUANTUMLOCKER.THDAIBB

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Dateien ein:

• %User Temp%\{8-digit hex value}.bat → contains commands to delete original malware executable, file name derived from elapsed system start time
• {Malware File Path}\{Malware File Name}.log → log file

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

• cmd /c "%User Temp%\{8-digit hex value}.bat" "{Malware file path}\{Malware file name}" → to delete itself upon execution

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Classes\
.quantum\shell\Open\
command
(Default) = explorer.exe README_TO_DECRYPT.html

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

• SQL
• database
• msexchange

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• msftesql.exe
• sqlagent.exe
• sqlbrowser.exe
• sqlwriter.exe
• oracle.exe
• ocssd.exe
• dbsnmp.exe
• synctime.exe
• agntsvc.exe
• isqlplussvc.exe
• xfssvccon.exe
• sqlservr.exe
• encsvc.exe
• ocautoupds.exe
• mydesktopservice.exe
• firefoxconfig.exe
• tbirdconfig.exe
• mydesktopqos.exe
• ocomm.exe
• mysqld.exe
• mysqld-nt.exe
• mysqld-opt.exe
• dbeng50.exe
• sqbcoreservice.exe
• excel.exe
• infopath.exe
• msaccess.exe
• mspub.exe
• onenote.exe
• outlook.exe
• powerpnt.exe
• sqlservr.exe
• thebat.exe
• steam.exe
• thebat64.exe
• thunderbird.exe
• visio.exe
• winword.exe
• wordpad.exe
• QBW32.exe
• QBW64.exe
• ipython.exe
• wpython.exe
• python.exe
• dumpcap.exe
• procmon.exe
• procmon64.exe
• procexp.exe
• procexp64.exe

Datendiebstahl

Folgende Daten werden gesammelt:

• Core count
• Total Memory
• Windows Version
• Windows Architecture
• Username
• Computer Name
• Join status information
• Flag to indicate if executed as administrator

Andere Details

Es macht Folgendes:

• It propagates to the following file paths if found for higher privilege execution:
  • \ADMIN$
  • \IPC$
• It installs the following services in its propagation routine if the /NETWORK argument provided is -s:
  • Update{random characters}
• It propagates in the network via LDAP domain query in Active Directories and drops copies of itself as:
  • \C$\ProgramData\{Malware File Name}.exe