RANSOM_CERBER.Q
Win32/Filecoder.Cerber.B (ESET-NOD32); Ransom.Cerber (Malwarebytes); Ransom:Win32/Cerber (Microsoft); Win-Trojan/Cerber.Gen (AhnLab-V3)
Windows
Malware-Typ:
Trojan
Zerstrerisch?:
Nein
Verschlsselt?:
In the wild::
Ja
Überblick
Verwendet den Windows Task-Planer, um einen geplanten Task hinzuzufügen, der die eingeschleusten Kopien ausführt.
Ändert Zoneneinstellungen von Internet Explorer.
Technische Details
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:
- %Application Data%\{GUID}\{random file from system32 folder}.exe
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Schleust folgende Komponentendateien ein:
- %Desktop%\# DECRYPT MY FILES #.txt
- %Desktop%\# DECRYPT MY FILES #.html
- %Desktop%\# DECRYPT MY FILES #.vbs
- {folders containing encrypted files}\# DECRYPT MY FILES #.txt
- {folders containing encrypted files}\# DECRYPT MY FILES #.html
- {folders containing encrypted files}\# DECRYPT MY FILES #.vbs
- %Tasks%\{random filename from system32 folder}
(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)
Verwendet den Windows Task-Planer, um einen geplanten Task hinzuzufügen, der die eingeschleusten Kopien ausführt.
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random filename from system32 folder} = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
{random filename from system32 folder} = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Command Processor
AutoRun = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
(Note:This registry entry runs the malware each time start Command Processor (Cmd.exe) is executed)
HKEY_CURRENT_USER\Control Panel\Desktop
SCRNSAVE.EXE = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
Run = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
Schleust die folgenden Dateien in den benutzerspezifischen Autostart-Ordner von Windows ein, um sich selbst bei jedem Systemstart auszuführen.
- %User Startup%\{random filename from system32 folder}.lnk
(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)
Andere Systemänderungen
Ändert die folgenden Dateien:
- It renames encrypted files to {random name}.cerber
Ändert die folgenden Registrierungsschlüssel/-einträge während der eigenen Installation:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyServer = "http=127.0.0.1:8888;https=127.0.0.1:8888;"
(Note: The default value data of the said registry entry is {user-defined}.)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyEnable = "1"
(Note: The default value data of the said registry entry is {user-defined}.)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyOverride = "<-loopback>;"
(Note: The default value data of the said registry entry is {user-defined}.)
Erstellt auch die folgenden Registrierungseinträge während der eigenen Installation:
HKEY_CURRENT_USER\Printers\Defaults\
{GUID}
Component_01 = "{base64 of encoded key}"
HKEY_CURRENT_USER\Printers\Defaults\
{GUID}
Component_00 = "{encoded value}"
Änderung der Startseite von Webbrowser und Suchseite
Ändert Zoneneinstellungen von Internet Explorer.