Ransom.Win64.HORUSKRYPT.THIAGBD

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %User Startup%\{32 random alphanumeric}.exe

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT, C:\Documents and Settings\{Benutzername}\Startmenü\Programme\Autostart unter Windows 2003(32-bit), XP und 2000(32-bit) und C:\Users\{Benutzername}\AppData\Roaming\Microsoft\Windows\Startmenü\Programme\Autostart unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Schleust die folgenden Dateien ein:

• %ProgramData%\{32 random alphanumeric}.ico → icon of encrypted files
• %ProgramData%\{32 random alphanumeric}.bmp → desktop wallpaper after encryption

Fügt die folgenden Prozesse hinzu:

• vssadmin Delete Shadows /All /Quiet
• bcdedit /set {default} recoveryenabled No
• bcdedit /set {default} bootstatuspolicy ignoreallfailures
• wmic SHADOWCOPY /nointeractive

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• 51A301AD-3CCF-413A-AD80-A507DDCFF34C

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CLASSES_ROOT\.h0rus13\DefaultIcon
{default} = %ProgramData%\{32 random alphanumeric}.ic

HKEY_CURRENT_USER\Software\Krypt
public = {hex values}

HKEY_CURRENT_USER\Software\Krypt
full = {hex values}

Ändert die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINESoftware\Policies\Microsoft\
Windows Defender
DisableAntiSpyware = 1

HKEY_LOCAL_MACHINESoftware\Policies\Microsoft\
Windows Defender
DisableRealtimeMonitoring = 1

HKEY_LOCAL_MACHINE\Software\Policies\
Microsoft\Windows NT\SystemRestore
DisableSR = 1

HKEY_LOCAL_MACHINE\Software\Policies\
Microsoft\Windows NT\SystemRestore
DisableConfig = 1

HKEY_LOCAL_MACHINE\Software\Policies\
Microsoft\Windows\WinRE
DisableSetup = 1

HKEY_LOCAL_MACHINE\Software\Policies\
Microsoft\Windows\Backup\
Client
DisableRestoreUI = 1

HKEY_LOCAL_MACHINE\Software\Policies\
Microsoft\Windows\Backup\
Client
DisableBackupLauncher = 1

HKEY_LOCAL_MACHINE\Software\Policies\
Microsoft\Windows\Backup\
Client
DisableSystemBackupUI = 1

HKEY_LOCAL_MACHINE\Software\Policies\
Microsoft\Windows\Backup\
Client
DisableBackupUI = 1

Stellt auf dem System das folgende Bild als Desktop-Hintergrundbild ein:

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

• wrapper
• DefWatch
• ccEvtMgr
• ccSetMgr
• SavRoam
• Sqlservr
• sqlagent
• sqladhlp
• Culserver
• RTVscan
• sqlbrowser
• SQLADHLP
• QBIDPService
• Intuit.QuickBooks.FCS
• QBCFMonitorService
• msmdsrv
• tomcat6
• zhudongfangyu
• vmware-usbarbitator64
• vmware-converter
• dbsrv12
• dbeng8
• MSSQL$MICROSOFT##WID
• MSSQL$VEEAMSQL2012
• SQLAgent$VEEAMSQL2012
• SQLBrowser
• SQLWriter
• FishbowlMySQL
• MSSQL$MICROSOFT##WID
• MySQL57
• MSSQL$KAV_CS_ADMIN_KIT
• MSSQLServerADHelper100
• SQLAgent$KAV_CS_ADMIN_KIT
• msftesql-Exchange
• MSSQL$MICROSOFT##SSEE
• MSSQL$SBSMONITORING

Beendet die folgenden Prozesse, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• wxserver
• wxserverview
• sqlmangr
• ragui
• supervise
• culture
• defwatch
• winword
• qbw32
• qbdbmgr
• qbupdate
• axlbridge
• httpd
• fdlauncher
• msdtsrvr
• java
• 360se
• 360doctor
• wdswfsafe
• fdhost
• gdscan
• zhudongfangyu
• qbdbmgrn
• mysqld
• autodeskdesktopapp
• acwebbrowser
• creative cloud
• adobe desktop service
• coresync
• adobe cef
• helper
• node
• adobeipcbroker
• sync-taskbar
• sync-worker
• inputpersonalization
• adobecollabsync
• brctrlcntr
• brccuxsys
• simplyconnectionmanager
• simply.systemtrayicon
• fbguard
• fbserver
• onenotem
• wsa_service
• koaly-exp-engine-service
• teamviewer_service
• teamviewer
• tv_w32
• tv_x64
• titanv
• ssms
• notepad
• rdrcef
• sam
• oracle
• ocssd
• dbsnmp
• synctime
• agntsvc
• isqlplussvc
• xfssvccon
• mydesktopservice
• ocautoupds
• encsvc
• tbirdconfig
• mydesktopqos
• ocomm
• dbeng50
• sqbcoreservice
• exce
• infopath
• msaccess
• mspub
• onenote
• outlook
• powerpnt
• steam
• thebat
• thunderbird
• visio
• wordpad
• bedbh
• vxmon
• benetns
• bengien
• pvlsvr
• beserver
• raw_agent_svc
• vsnapvss
• cagservice
• dellsystemdetect
• enterpriseclient
• processhacker
• procexp64
• procexp
• glasswire
• gwctlsrv
• wireshark
• dumpcap
• j0gnjko1
• autoruns
• autoruns64a
• autorunsc
• autorunsc64a
• sysmon
• sysmon64
• procexp64a
• procmon
• procmon64
• procmon64a
• adexplorer
• adexplorer64
• adexplorer64a
• tcpview
• tcpview64
• tcpview64a
• avz
• tdsskiller
• raccineelevatedcfg
• raccinesettings
• raccine_x86
• raccine
• sqlservr
• rtvscan
• sqlbrowser
• tomcat6
• qbidpservice
• notepad++
• systemexplorer
• systemexplorerservice
• systemexplorerservice64
• totalcmd
• totalcmd64
• veeamdeploymentsvc
• notepad

Datendiebstahl

Folgende Daten werden gesammelt:

• Volume Information

Andere Details

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\Krypt

HKEY_CLASSES_ROOT\.h0rus13

HKEY_CLASSES_ROOT\.h0rus13\DefaultIcon

HKEY_CURRET_USER\.h0rus13

HKEY_CURRET_USER\.h0rus13\DefaultIcon

Es macht Folgendes:

• It encrypts local, removable, and network drives.
• It empties the recycle bin.
• It terminates itself if the keyboard layout of the infected machine is the following:
  • Persian/Iran
• It terminates itself if the GUID was found in the system:
  • 51A301AD-3CCF-413A-AD80-A507DDCFF34C
• It changes the encrypted file icon to the following image: