Ransom.Win64.ARCRYPT.YJEIT

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Diese Malware hat keine Verbreitungsroutine.

Diese Malware hat keine Backdoor-Routine.

Diese Malware kann keine Daten stehlen.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Dateien ein:

• {malware filepath}\log.txt → contains the status of encryption, deleted afterwards
  
• %Desktop%\userfile.cdci
• %Desktop%\userfile1.cdci

Verbreitung

Diese Malware hat keine Verbreitungsroutine.

Backdoor-Routine

Diese Malware hat keine Backdoor-Routine.

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

• vss
• wbengine
• MongoDB
• SQLWriter
• MSSQLServerOLAPService
• MSSQLSERVER
• MSSQLFDLauncher
• MSSQLSQLEXPRESS
• MSSQL$ERASQL
• SQLSERVERAGENT
• ReportServer
• OracleServiceORCL
• OracleRemExecService
• OracleVssWriterORAFPC
• OracleServiceORAFPC
• Oracle Object Service
• OracleASMService+ASM2
• OracleMTSRecoveryService
• OracleOHService
• OracleOraCrs11g_home1TNSListener
• OracleOraCrs11g_home1TNSListenerLISTENER_SCAN1
• OracleJobSchedulerORAFPC
• OracleServiceSYS12
• OracleServiceZAC12
• postgresql-x64-13
• AssetViewCore
• AssetViewDBService
• AssetViewFileTransferService
• SQLBrowser
• OracleDBConsoleorcl
• OracleVssWriterORCL
• MySQL
• ASLogWatch
• CAARCUpdateSvc
• CASAD2DWebSvc
• CASDiscovery
• CASUniversalAgent
• HpePqiESrv
• Standby Express zac1
• Standby Express zac1 Agent

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• sql.exe
• dbsnmp.exe
• isqlplussvc.exe
• xfssvccon.exe
• mydesktopservice.exe
• ocautoupds.exe
• encsvc.exe
• tbirdconfig.exe
• mydesktopqos.exe
• ocomm.exe
• dbeng50.exe
• sqbcoreservice.exe
• excel.exe
• infopath.exe
• msaccess.exe
• mspub.exe
• onenote.exe
• outlook.exe
• powerpnt.exe
• thebat.exe
• thunderbird.exe
• visio.exe
• winword.exe
• wordpad.exe
• sqlwriter.exe
• oracle.exe
• ocssd.exe
• mysqld.exe
• mysqld-nt.exe
• mysqld-opt.exe
• sqlbrowser.exe
• sqlagent.exe
• msftesql.exe
• sqlservr.exe
• notepad.exe

Datendiebstahl

Diese Malware kann keine Daten stehlen.

Andere Details

Es macht Folgendes:

• It requires to be executed with the password/passphrase in order to proceed with its malicious routine:
  • 3456qwer
• It requires to be executed as an administrator.
• It clears the event logs of the affected system.
• It encrypts local, removable, and network drives.
• It encrypts the recycle bin of the affected system.