RANSOM_WALTRIX.CBQ165O

Diese Malware hat keine Verbreitungsroutine.

Diese Malware hat keine Backdoor-Routine.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Installation

Schleust folgende Komponentendateien ein:

• {malware path}\svchost.exe - legitimate rundll32.exe
• %User Startup%\{unique ID}.bat - will delete initially executed malware copy
• %User Startup%\{unique ID}{random character 1}.lnk - automatically opens the image ransom note upon startup
• %User Startup%\{unique ID}{random character 2}.lnk - automatically opens the HTML ransom note upon startup
• %Desktop%\!Recovery_{unique ID}.bmp - ransom note
• %Desktop%\!Recovery_{unique ID}.html - ransom note
• %Desktop%\!Recovery_{unique ID}.txt - ransom note
• %Start Menu%\Programs\!Recovery_{unique ID}.html
• %Start Menu%\Programs\!Recovery_{unique ID}.bmp
• %Start Menu%\Programs\!Recovery_{unique ID}.txt
• {folders containing encrypted files}\!Recovery_{unique ID}.html
• {folders containing encrypted files}\!Recovery_{unique ID}.txt
• For Windows XP and below:
  • %All Users Profile%\Application Data\Z - deleted afterwards; contains installation date of malware
  • %All Users Profile%\Application Data\{unique ID}.html
  • %All Users Profile%\Application Data\{unique ID}.bmp
  • %All Users Profile%\Application Data\{unique ID}.key
  • %User Profile%\NetHood\!Recovery_{unique ID}.html
  • %User Profile%\NetHood\!Recovery_{unique ID}.bmp
  • %User Profile%\NetHood\!Recovery_{unique ID}.txt

    where {unique ID} contains 12 hexadecimal characters

• For Windows Vista and above:
  • %ProgramData%\Z - deleted afterwards; contains installation date of malware
  • %ProgramData%\{unique ID}.html
  • %ProgramData%\{unique ID}.bmp
  • %ProgramData%\{unique ID}.key
  • %Application Data%\Microsoft\Windows\Network Shortcuts\!Recovery_{unique ID}.html
  • %Application Data%\Microsoft\Windows\Network Shortcuts\!Recovery_{unique ID}.bmp
  • %Application Data%\Microsoft\Windows\Network Shortcuts\!Recovery_{unique ID}.txt

    where {unique ID} contains 12 hexadecimal characters

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.. %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.. %Start Menu% ist der Ordner 'Startmenü' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü unter Windows NT und C:\Windows\Startmenü oder C:\Dokumente und Einstellungen\{Benutzername}\Startmenü unter Windows 2000, XP und Server 2003.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

• {malware path}\explorer.exe {malware path and filename}.dll,XXS{number}S

  It copies the legitimate rundll32.exe as explorer.exe to the same directory of the ransomware.

Autostart-Technik

Schleust die folgenden Dateien in den benutzerspezifischen Autostart-Ordner von Windows ein, um sich selbst bei jedem Systemstart auszuführen.

• %User Startup%\!{unique ID}.lnk
  where {unique ID} contains 12 hexadecimal characters

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)

Andere Systemänderungen

Ändert die folgenden Dateien:

• It encrypts files and appends the extension .crypt

Verbreitung

Diese Malware hat keine Verbreitungsroutine.

Backdoor-Routine

Diese Malware hat keine Backdoor-Routine.

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• {BLOCKED}.{BLOCKED}.82.19:443
• {BLOCKED}.{BLOCKED}.187.64:443

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• .3DM
• .3DS
• .3G2
• .3GP
• .4DB
• .4DL
• .4MP
• .7Z
• .A3D
• .ABM
• .ABS
• .ABW
• .ACCDB
• .ACT
• .ADN
• .ADP
• .AES
• .AF2
• .AF3
• .AFT
• .AFX
• .AGIF
• .AGP
• .AHD
• .AI
• .AIC
• .AIF
• .AIM
• .ALBM
• .ALF
• .AM
• .ANI
• .ANS
• .APD
• .APK
• .APM
• .APNG
• .APP
• .APS
• .APT
• .APX
• .ARC
• .ART
• .ARW
• .ASC
• .ASE
• .ASF
• .ASK
• .ASM
• .ASP
• .ASPX
• .ASW
• .ASX
• .ASY
• .ATY
• .AVI
• .AWDB
• .AWP
• .AWT
• .AWW
• .AZZ
• .BAD
• .BAK
• .BAY
• .BBS
• .BDB
• .BDP
• .BDR
• .BEAN
• .BIB
• .BM2
• .BMP
• .BMX
• .BNA
• .BND
• .BOC
• .BOK
• .BRD
• .BRK
• .BRN
• .BRT
• .BSS
• .BTD
• .BTI
• .BTR
• .BZ2
• .C
• .C2
• .C4
• .C4D
• .CAL
• .CALS
• .CAN
• .CD5
• .CDB
• .CDC
• .CDG
• .CDMM
• .CDMT
• .CDR
• .CDR3
• .CDR4
• .CDR6
• .CDT
• .CER
• .CF
• .CFG
• .CFM
• .CFU
• .CGI
• .CGM
• .CIMG
• .CIN
• .CIT
• .CKP
• .CLASS
• .CLKW
• .CMA
• .CMD
• .CMX
• .CNM
• .CNV
• .COLZ
• .CPC
• .CPD
• .CPG
• .CPP
• .CPS
• .CPT
• .CPX
• .CRD
• .CRT
• .CRWL
• .CRYPT
• .CS
• .CSR
• .CSS
• .CSV
• .CSY
• .CUE
• .CV5
• .CVG
• .CVI
• .CVS
• .CVX
• .CWT
• .CXF
• .CYI
• .DAD
• .DAF
• .DB
• .DB3
• .DBF
• .DBK
• .DBT
• .DBV
• .DBX
• .DCA
• .DCB
• .DCH
• .DCS
• .DCT
• .DCU
• .DCX
• .DDL
• .DDOC
• .DDS
• .DED
• .DF1
• .DG
• .DGN
• .DGS
• .DHS
• .DIB
• .DIF
• .DIP
• .DIZ
• .DJV
• .DJVU
• .DM3
• .DMI
• .DMO
• .DNC
• .DNE
• .DOC
• .DOCB
• .DOCM
• .DOCX
• .DOCZ
• .DOT
• .DOTM
• .DOTX
• .DP1
• .DPP
• .DPX
• .DQY
• .DRW
• .DRZ
• .DSK
• .DSN
• .DSV
• .DT
• .DT2
• .DTA
• .DTD
• .DTSX
• .DTW
• .DVI
• .DVL
• .DWG
• .DX
• .DXB
• .DXF
• .DXL
• .ECO
• .ECW
• .ECX
• .EDB
• .EFD
• .EGC
• .EIO
• .EIP
• .EIT
• .EMD
• .EMF
• .EML
• .EMLX
• .EP
• .EPF
• .EPP
• .EPS
• .EPSF
• .EQL
• .ERF
• .ERR
• .ETF
• .ETX
• .EUC
• .EXR
• .FAL
• .FAQ
• .FAX
• .FB2
• .FB3
• .FBL
• .FBX
• .FCD
• .FCF
• .FDB
• .FDF
• .FDR
• .FDS
• .FDT
• .FDX
• .FDXT
• .FES
• .FFT
• .FH10
• .FH11
• .FH3
• .FH4
• .FH5
• .FH6
• .FH7
• .FH8
• .FIC
• .FID
• .FIF
• .FIG
• .FIL
• .FL
• .FLA
• .FLI
• .FLR
• .FLV
• .FM5
• .FMV
• .FODT
• .FOL
• .FP3
• .FP4
• .FP5
• .FP7
• .FPOS
• .FPT
• .FPX
• .FRM
• .FRT
• .FT10
• .FT11
• .FT7
• .FT8
• .FT9
• .FTN
• .FWDN
• .FXC
• .FXG
• .FZB
• .FZV
• .GADGET
• .GBK
• .GBR
• .GCDP
• .GDB
• .GDOC
• .GED
• .GEM
• .GEO
• .GFB
• .GGR
• .GIF
• .GIH
• .GIM
• .GIO
• .GLOX
• .GPD
• .GPG
• .GPN
• .GPX
• .GRO
• .GROB
• .GRS
• .GSD
• .GTHR
• .GTP
• .GV
• .GWI
• .GZ
• .H
• .HBK
• .HDB
• .HDP
• .HDR
• .HHT
• .HIS
• .HPG
• .HPGL
• .HPI
• .HPL
• .HS
• .HTC
• .HTM
• .HTML
• .HWP
• .HZ
• .I3D
• .IB
• .IBD
• .IBOOKS
• .ICN
• .ICON
• .IDC
• .IDEA
• .IDX
• .IFF
• .IGT
• .IGX
• .IHX
• .IIL
• .IIQ
• .IMD
• .INDD
• .INFO
• .INK
• .IPF
• .IPX
• .ITDB
• .ITW
• .IWI
• .J2C
• .J2K
• .JAR
• .JAS
• .JAVA
• .JB2
• .JBMP
• .JBR
• .JFIF
• .JIA
• .JIS
• .JKS
• .JNG
• .JOE
• .JP1
• .JP2
• .JPE
• .JPEG
• .JPG
• .JPG2
• .JPS
• .JPX
• .JRTF
• .JS
• .JSP
• .JTX
• .JWL
• .JXR
• .KDB
• .KDBX
• .KDC
• .KDI
• .KDK
• .KES
• .KEY
• .KIC
• .KLG
• .KML
• .KMZ
• .KNT
• .KON
• .KPG
• .KWD
• .LAY
• .LAY6
• .LBM
• .LBT
• .LDF
• .LGC
• .LIS
• .LIT
• .LJP
• .LMK
• .LNT
• .LP2
• .LRC
• .LST
• .LTR
• .LTX
• .LUA
• .LUE
• .LUF
• .LWO
• .LWP
• .LWS
• .LYT
• .LYX
• .M
• .M3D
• .M3U
• .M4A
• .M4V
• .MA
• .MAC
• .MAN
• .MAP
• .MAQ
• .MAT
• .MAX
• .MB
• .MBM
• .MBOX
• .MDB
• .MDF
• .MDN
• .MDT
• .ME
• .MEF
• .MELL
• .MFD
• .MFT
• .MGCB
• .MGMT
• .MGMX
• .MID
• .MIN
• .MKV
• .MMAT
• .MML
• .MNG
• .MNR
• .MNT
• .MOBI
• .MOS
• .MOV
• .MP3
• .MP4
• .MPA
• .MPF
• .MPG
• .MPO
• .MRG
• .MRXS
• .MS11
• .MSG
• .MSI
• .MT9
• .MUD
• .MWB
• .MWP
• .MXL
• .MYD
• .MYI
• .MYL
• .NCR
• .NCT
• .NDF
• .NEF
• .NFO
• .NJX
• .NLM
• .NOTE
• .NOW
• .NRW
• .NS2
• .NS3
• .NS4
• .NSF
• .NV2
• .NYF
• .NZB
• .OBJ
• .OC3
• .OC4
• .OC5
• .OCE
• .OCI
• .OCR
• .ODB
• .ODG
• .ODM
• .ODO
• .ODP
• .ODS
• .ODT
• .OFL
• .OFT
• .OMF
• .OPLC
• .OQY
• .ORA
• .ORF
• .ORT
• .ORX
• .OTA
• .OTG
• .OTI
• .OTP
• .OTS
• .OTT
• .OVP
• .OVR
• .OWC
• .OWG
• .OYX
• .OZB
• .OZJ
• .OZT
• .P12
• .P7S
• .P96
• .P97
• .PAGES
• .PAL
• .PAN
• .PANO
• .PAP
• .PAQ
• .PAS
• .PB
• .PBM
• .PC1
• .PC2
• .PC3
• .PCD
• .PCS
• .PCT
• .PCX
• .PDB
• .PDD
• .PDF
• .PDM
• .PDN
• .PDS
• .PDT
• .PE4
• .PEF
• .PEM
• .PFF
• .PFI
• .PFS
• .PFV
• .PFX
• .PGF
• .PGM
• .PHM
• .PHP
• .PI1
• .PI2
• .PI3
• .PIC
• .PICT
• .PIF
• .PIX
• .PJPG
• .PJT
• .PL
• .PLT
• .PLUGIN
• .PM
• .PMG
• .PNG
• .PNI
• .PNM
• .PNTG
• .PNZ
• .POP
• .POT
• .POTM
• .POTX
• .PP4
• .PP5
• .PPAM
• .PPM
• .PPS
• .PPSM
• .PPSX
• .PPT
• .PPTX
• .PRF
• .PRIV
• .PRIVATE
• .PRT
• .PRW
• .PS
• .PSD
• .PSDX
• .PSE
• .PSID
• .PSP
• .PSPIMAGE
• .PSW
• .PTG
• .PTH
• .PTX
• .PU
• .PVJ
• .PVM
• .PVR
• .PWA
• .PWI
• .PWR
• .PXR
• .PY
• .PZ3
• .PZA
• .PZP
• .PZS
• .QCOW2
• .QDL
• .QMG
• .QPX
• .QRY
• .QVD
• .RA
• .RAD
• .RAR
• .RAS
• .RAW
• .RCT
• .RCU
• .RDB
• .RDDS
• .RDL
• .RFT
• .RGB
• .RGF
• .RIB
• .RIC
• .RIFF
• .RIS
• .RIX
• .RLE
• .RLI
• .RM
• .RNG
• .RPD
• .RPF
• .RPT
• .RRI
• .RSB
• .RSD
• .RSR
• .RSS
• .RST
• .RT
• .RTD
• .RTF
• .RTX
• .RUN
• .RW2
• .RWL
• .RZK
• .RZN
• .S2MV
• .S3M
• .SAF
• .SAI
• .SAM
• .SAVE
• .SBF
• .SCAD
• .SCC
• .SCH
• .SCI
• .SCM
• .SCT
• .SCV
• .SCW
• .SDB
• .SDF
• .SDM
• .SDOC
• .SDW
• .SEP
• .SFC
• .SFW
• .SGM
• .SH
• .SIG
• .SITX
• .SK1
• .SK2
• .SKM
• .SLA
• .SLD
• .SLDX
• .SLK
• .SLN
• .SLS
• .SMF
• .SMIL
• .SMS
• .SOB
• .SPA
• .SPE
• .SPH
• .SPJ
• .SPP
• .SPQ
• .SPR
• .SQB
• .SQL
• .SQLITE3
• .SQLITEDB
• .SR2
• .SRT
• .SRW
• .SSA
• .SSK
• .ST
• .STC
• .STD
• .STE
• .STI
• .STM
• .STN
• .STP
• .STR
• .STW
• .STY
• .SUB
• .SUMO
• .SVA
• .SVF
• .SVG
• .SVGZ
• .SWF
• .SXC
• .SXD
• .SXG
• .SXI
• .SXM
• .SXW
• .T2B
• .TAB
• .TAR
• .TB0
• .TBK
• .TBN
• .TCX
• .TDF
• .TDT
• .TE
• .TEX
• .TEXT
• .TF
• .TFC
• .TG4
• .TGA
• .TGZ
• .THM
• .THP
• .TIF
• .TIFF
• .TJP
• .TLB
• .TLC
• .TM
• .TM2
• .TMD
• .TMP
• .TMV
• .TMX
• .TN
• .TNE
• .TPC
• .TPI
• .TRM
• .TVJ
• .TXT
• .U3D
• .U3I
• .UDB
• .UFO
• .UFR
• .UGA
• .UNX
• .UOF
• .UOP
• .UOT
• .UPD
• .USR
• .UTF8
• .UTXT
• .V12
• .VB
• .VBR
• .VBS
• .VCF
• .VCT
• .VCXPROJ
• .VDA
• .VDB
• .VDI
• .VEC
• .VFF
• .VMDK
• .VML
• .VMX
• .VNT
• .VOB
• .VPD
• .VPE
• .VRML
• .VRP
• .VSD
• .VSDM
• .VSDX
• .VSM
• .VST
• .VSTX
• .VUE
• .VW
• .WAV
• .WB1
• .WBC
• .WBD
• .WBK
• .WBM
• .WBMP
• .WBZ
• .WCF
• .WDB
• .WDP
• .WEBP
• .WGZ
• .WIRE
• .WKS
• .WMA
• .WMDB
• .WMF
• .WMV
• .WN
• .WP
• .WP4
• .WP5
• .WP6
• .WP7
• .WPA
• .WPD
• .WPE
• .WPG
• .WPL
• .WPS
• .WPT
• .WPW
• .WRI
• .WSC
• .WSD
• .WSF
• .WSH
• .WTX
• .WVL
• .X3D
• .X3F
• .XAR
• .XCODEPROJ
• .XDB
• .XDL
• .XHTM
• .XHTML
• .XLC
• .XLD
• .XLF
• .XLGC
• .XLM
• .XLR
• .XLS
• .XLSB
• .XLSM
• .XLSX
• .XLT
• .XLTM
• .XLTX
• .XLW
• .XML
• .XPM
• .XPS
• .XWP
• .XY3
• .XYP
• .XYW
• .YAL
• .YBK
• .YML
• .YSP
• .YUV
• .Z3D
• .ZABW
• .ZDB
• .ZDC
• .ZIF
• .ZIP
• .ZIPX
• .ZW