RANSOM_BATHIDE.A
Windows
Malware-Typ:
Ransomware
Zerstrerisch?:
Nein
Verschlsselt?:
Nein
In the wild::
Ja
Überblick
Technische Details
Installation
Fügt die folgenden Ordner hinzu:
- %User Temp%\afolder
- %User Temp%\ytmp
(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)
Schleust die folgenden Dateien ein:
- %User Temp%\afolder\Ransomware.exe - SFX archive containing Encrypt.exe and Display.exe
- %User Temp%\ytmp\t{random numbers}.bat - batch files that display ransom note and hide files
- %User Temp%\ytmp\t{random numbers}.exe - not an executable, contains the text “RCHELICOPTERFTW”
(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)
Autostart-Technik
Schleust die folgenden Dateien in den benutzerspezifischen Autostart-Ordner von Windows ein, um sich selbst bei jedem Systemstart auszuführen.
- C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Encrypt.exe - creates and executes a batch file to hide files
- C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Display.exe - creates and executes a batch file to display ransom note
Lösungen
Step 1
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 3
Im abgesicherten Modus neu starten
Step 4
Diese Dateien suchen und löschen
- C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Encrypt.exe
- C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Display.exe
- %User Temp%\afolder\Ransomware.exe
- %User Temp%\ytmp\t{random numbers}.bat
- %User Temp%\ytmp\t{random numbers}.exe
- C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Encrypt.exe
- C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Display.exe
- %User Temp%\afolder\Ransomware.exe
- %User Temp%\ytmp\t{random numbers}.bat
- %User Temp%\ytmp\t{random numbers}.exe
Step 5
Diesen Ordner suchen und löschen
- %User Temp%\afolder
- %User Temp%\ytmp
Step 6
- Öffnen Sie eine Befehlszeile.
- Benutzer von Windows 2000, Windows XP und Windows Server 2003: Klicken Sie auf Start>Ausführen. Geben Sie im Feld "Öffnen" CMD ein, und drücken Sie dann die Eingabetaste.
- Benutzer von Windows Vista und Windows 7: Klicken Sie auf Start, geben Sie CMD in das Eingabefeld Suche starten ein, und drücken Sie die Eingabetaste.
- Geben Sie an der CMD-Konsole Folgendes ein:
ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [+I | -I] [Laufwerk:][Pfad][Dateiname] [/S [/D] [/L]]
Wobei Folgendes gilt:
+ Legt ein Attribut fest.
- Löscht ein Attribut.
R Attribut für schreibgeschützte Datei
A Attribut für Archivdatei
S Attribut für Systemdatei
H Attribut für verborgene Datei
I Attribut für unindiziert Datei
[Laufwerk:][Pfad][Dateiname]
Gibt eine Datei bzw. Dateien an, die durch "attrib" verarbeitet werden sollen.
/S Verarbeitet die zutreffenden Dateien im aktuellen Ordner und allen Unterordnern.
/D Verarbeitet Ordner
/L Ändert Attribute des symbolischen Links statt des Ziels des symbolischen Links
Beispiel:
So blenden Sie alle Dateien und Ordner (einschließlich der Unterordner) in Laufwerk D: ein
ATTRIB –H D:\* /S /D - Wiederholen Sie Schritt 3 für Ordner und Dateien auf anderen Laufwerken oder in anderen Verzeichnissen.
Step 7
Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als RANSOM_BATHIDE.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Nehmen Sie an unserer Umfrage teil