Analyse von: Rhena Inocencio   
 

Trojan-Ransom.Win32.Onion.vvg (Kaspersky), Ransomware-FFC!D490333B5AAD (McAfee)

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Trojan

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

Verwendet den Windows Task-Planer, um einen geplanten Task zu erstellen, der die eingeschleuste Kopie ausführt.

  Technische Details

Dateigröße: 754,690 bytes
Dateityp: EXE
Erste Muster erhalten am: 25 Februar 2016

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

  • %User Temp%\{random filename}.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein:

  • %My Documents%\!Decrypt-All-Files-{7 random characters}.txt
  • %My Documents%\!Decrypt-All-Files-{7 random characters}.bmp

    (Note: %My Documents% is usually C:\Documents and Settings\{user name}\My Documents on Windows 2000, XP, and Server 2003, or C:\Users\{user name}\Documents on Windows Vista and 7.)

  • %All Users Profile%\{random characters}.html

    (Note: %All Users Profile% is usually C:\Documents and Settings\All Users on Windows 2000, XP, and Server 2003, or C:\Users\All Users on Windows Vista and 7.)

  • %System Root%\{randomly selected path}\!Decrypt-All-Files-{7 random characters}.txt
  • %System Root%\{randomly selected path}\!Decrypt-All-Files-{7 random characters}.bmp
  • %Tasks%\{random filename}

    (Note: %Tasks% is usually C:\Windows\Tasks on Windows XP and below, or C:\Windows\system32\Tasks on Windows Vista and above)

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Verwendet den Windows Task-Planer, um einen geplanten Task zu erstellen, der die eingeschleuste Kopie ausführt.

Autostart-Technik

Schleust die folgenden Dateien in den benutzerspezifischen Autostart-Ordner von Windows ein, um sich selbst bei jedem Systemstart auszuführen.

  • %User Startup%\system.pif - malware copy

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)

Andere Systemänderungen

Ändert die folgenden Dateien:

  • It encrypts files and appends the extension .{7 random characters} to the encrypted files.
    Example sample.txt.qwkooom

Ändert die folgenden Registrierungseinträge:

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%My Documents%\!Decrypt-All-Files-{7 random characters}.bmp"

(Note: The default value data of the said registry entry is {user-defined}.)

HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = "0"

(Note: The default value data of the said registry entry is {user-defined}.)

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = "0"

(Note: The default value data of the said registry entry is {user-defined}.)