RANSOM_CRYPTOR.R038C0DBB18
Trojan-Ransom.Win32.Cryptor.bqk (KASPERSKY), Trojan:Win32/Occamy.B (MICROSOFT), W32/Filecoder.NOZ!tr (FORTINET)
Windows
Malware-Typ:
Ransomware
Zerstrerisch?:
Nein
Verschlsselt?:
Nein
In the wild::
Ja
Überblick
Verwendet den Windows Task-Planer, um einen geplanten Task zu erstellen, der die eingeschleuste Kopie ausführt.
Technische Details
Installation
Schleust eine Kopie von sich selbst in folgende Ordner ein, wobei verschiedene Dateinamen verwendet werden:
- %Application Data%\info.exe
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Verwendet den Windows Task-Planer, um einen geplanten Task zu erstellen, der die eingeschleuste Kopie ausführt.
Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:
- BleepingComputer_rapid
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Encrypter_074 = %Application Data%\info.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
userinfo = %Application Data%\recovery.txt
Der geplante Task führt die Malware im folgenden Zeitraum aus:
- Every minute
- Upon login
Andere Systemänderungen
Fügt die folgenden Registrierungseinträge hinzu:
HKEY_CURRENT_USER\Software\EncryptKeys
local_enc_private_key_len = {random data}
HKEY_CURRENT_USER\Software\EncryptKeys
local_enc_private_key = {random data}
HKEY_CURRENT_USER\Software\EncryptKeys
local_public_key_len = {random data}
HKEY_CURRENT_USER\Software\EncryptKeys
local_public_key = {random data}
Prozessbeendigung
Beendet die folgenden Prozesse, wenn sie im Speicher des betroffenen Systems ausgeführt werden:
- msftesql.exe
- sqlagent.exe
- sqlbrowser.exe
- sqlservr.exe
- sqlwriter.exe
- oracle.exe
- ocssd.exe
- dbsnmp.exe
- synctime.exe
- mydesktopqos.exe
- agntsvc.exeisqlplussvc.exe
- xfssvccon.exe
- mydesktopservice.exe
- ocautoupds.exe
- agntsvc.exeagntsvc.exe
- agntsvc.exeencsvc.exe
- firefoxconfig.exe
- tbirdconfig.exe
- ocomm.exe
- mysqld.exe
- mysqld-nt.exe
- mysqld-opt.exe
- dbeng50.exe
- sqbcoreservice.exe
- excel.exe
- infopath.exe
- msaccess.exe
- mspub.exe
- onenote.exe
- outlook.exe
- powerpnt.exe
- steam.exe
- thebat.exe
- thebat64.exe
- thunderbird.exe
- visio.exe
- winword.exe
- wordpad.exe
- taskmgr.exe
Lösungen
Step 1
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 3
Im abgesicherten Modus neu starten
Step 4
Hinzugefügte Auftragsdatei löschen:
- Klicken Sie auf 'Start>Programme>Zubehör>Systemprogramme>Geplante Tasks'
- Doppelklicken Sie auf eine Auftragsdatei.
- Überprüfen Sie, ob sich Pfadangabe und Dateiname der Malware im Feld 'Ausführen:' befinden.
- Falls dies der Fall ist, löschen Sie die Auftragsdatei.
- Wiederholen Sie die Schritte 2-4 für die verbleibenden Auftragsdateien.
Step 5
Diesen Registrierungsschlüssel löschen
Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.
- In HKEY_CURRENT_USER\Software
- EncryptKeys
- EncryptKeys
Step 6
Diesen Registrierungswert löschen
Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Encrypter_074 = %Application Data%\info.exe
- Encrypter_074 = %Application Data%\info.exe
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- userinfo = %Application Data%\recovery.txt
- userinfo = %Application Data%\recovery.txt
Step 7
Diese Dateien suchen und löschen
- %Application Data%\info.exe
- %Application Data%\recovery.txt
- {encrypted files directory}\How Recovery Files.txt
- %Application Data%\info.exe
- %Application Data%\recovery.txt
- {encrypted files directory}\How Recovery Files.txt
Step 8
Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als RANSOM_CRYPTOR.R038C0DBB18 entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Nehmen Sie an unserer Umfrage teil