Ransom.Win32.GANDCRAB.WWO

Stiehlt bestimmte Daten vom System und/oder dem Benutzer.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen. Löscht sich nach der Ausführung selbst.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %Application Data%\Microsoft\{Random Characters}.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• Global\pc_group={Machine Workgroup}&ransom_id={16 hex values generated by the malware}

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
{Random Characters} = %Application Data%\Microsoft\{Random Characters}.exe

Prozessbeendigung

Beendet die folgenden Prozesse, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• msftesql.exe
• sqlagent.exe
• sqlbrowser.exe
• sqlservr.exe
• sqlwriter.exe
• oracle.exe
• ocssd.exe
• dbsnmp.exe
• synctime.exe
• mydesktopqos.exe
• agntsvc.exeisqlplussvc.exe
• xfssvccon.exe
• mydesktopservice.exe
• ocautoupds.exe
• agntsvc.exeagntsvc.exe
• agntsvc.exeencsvc.exe
• firefoxconfig.exe
• tbirdconfig.exe
• ocomm.exe
• mysqld.exe
• mysqld-nt.exe
• mysqld-opt.exe
• dbeng50.exe
• sqbcoreservice.exe
• excel.exe
• infopath.exe
• msaccess.exe
• mspub.exe
• onenote.exe
• outlook.exe
• powerpnt.exe
• steam.exe
• sqlservr.exe
• thebat.exe
• thebat64.exe
• thunderbird.exe
• visio.exe
• winword.exe
• wordpad.exe

Einschleusungsroutine

Schleust die folgenden Dateien ein:

• %User Temp%\pidor.bmp

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Datendiebstahl

Stiehlt folgende Daten:

• Machine Workgroup
• Anti Virus Software
• System Language
• Public IP Address
• Username
• Machine Name
• Machine Keyboard Layout
• OS Version and Platform
• Drive letters of drives, type, capacity, and free space

Entwendete Daten

Sendet die gesammelten Daten über HTTP-POST an den folgenden URL:

• http://{BLOCKED}r.bit/{encrypted stolen information}

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• http://{BLOCKED}r.bit/
• http://{BLOCKED}ware.bit/

Führt DNS-Anfragen an folgende Websites durch:

• {BLOCKED}1.{BLOCKED}vers.ru
• {BLOCKED}2.{BLOCKED}vers.ru
• {BLOCKED}ware.bit
• {BLOCKED}r.bit

Löscht sich nach der Ausführung selbst.