Ransom.Win32.LOCKBIT.ENU

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Dateien ein:

• %System%\{random}.ico → icon for encrypted files
• {Drive}\{random}.lock → deleted afterwards

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

• "%System%\cmd.exe" /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• {095650E2-0956-73FC-75BA-CE6A6A58CEB8}

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{030CECE2-5656-7371-75BA-756A705801B8} = {Malware Path and Name}.exe

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.lockbit\DefaultIcon
{Default} = %System%\{random}.ico

HKEY_CURRENT_USER\Software\FA0C50E256FCBA
Private = {Generated Session Key}

HKEY_CURRENT_USER\Software\FA0C50E256FCBA
Public = {Generated Session Key}

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

• AcronisAgent
• AcrSch2Svc
• ARSM
• backup
• BackupExecAgentAccelerator
• BackupExecAgentBrowser
• BackupExecDiveciMediaService
• BackupExecJobEngine
• BackupExecManagementService
• BackupExecRPCService
• BackupExecVSSProvider
• bedbg
• CAARCUpdateSvc
• CASAD2DWebSvc
• ccEvtMgr
• ccSetMgr
• Culserver
• dbeng8
• dbsrv12
• DefWatch
• FCS
• FishbowlMySQL
• Intuit
• memtas
• mepocs
• MSExchange
• MSExchange$
• msftesql-Exchange
• msmdsrv
• MSSQL
• MSSQL$
• MSSQL$KAV_CS_ADMIN_KIT
• MSSQL$MICROSOFT##SSEE
• MSSQL$MICROSOFT##WID
• MSSQL$SBSMONITORING
• MSSQL$SHAREPOINT
• MSSQL$VEEAMSQL2012
• MSSQLFDLauncher$SBSMONITORING
• MSSQLFDLauncher$SHAREPOINT
• MSSQLServerADHelper100
• MVArmor
• MVarmor64
• MySQL57
• PDVFSService
• QBCFMonitorService
• QBFCService
• QBIDPService
• QBVSS
• QuickBooks
• RTVscan
• SavRoam
• sophos
• sql
• sqladhlp
• SQLADHLP
• sqlagent
• SQLAgent$KAV_CS_ADMIN_KIT
• SQLAgent$SBSMONITORING
• SQLAgent$SHAREPOINT
• SQLAgent$VEEAMSQL2012
• sqlbrowser
• SQLBrowser
• Sqlservr
• SQLWriter
• stc_raw_agent
• svc$
• tomcat6
• veeam
• VeeamDeploymentService
• VeeamNFSSvc
• VeeamTransportSvc
• vmware-converter
• vmware-usbarbitator64
• VSNAPVSS
• vss
• wrapper
• WSBExchange
• YooBackup
• YooIT
• zhudongfangyu

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• 360doctor
• 360se
• acwebbrowser
• ADExplorer
• ADExplorer64
• ADExplorer64a
• Adobe CEF
• Adobe Desktop Service
• AdobeCollabSync
• AdobeIPCBroker
• agntsvc
• AutodeskDesktopApp
• Autoruns
• Autoruns64
• Autoruns64a
• Autorunsc
• Autorunsc64
• Autorunsc64a
• avz
• axlbridge
• bedbh
• benetns
• bengien
• beserver
• BrCcUxSys
• BrCtrlCntr
• CagService
• CoreSync
• Creative Cloud
• Culture
• dbeng50
• dbsnmp
• Defwatch
• DellSystemDetect
• dumpcap
• encsvc
• EnterpriseClient
• excel
• fbguard
• fbserver
• fdhost
• fdlauncher
• GDscan
• GlassWire
• GWCtlSrv
• Helper
• httpd
• infopath
• InputPersonalization
• isqlplussvc
• j0gnjko1
• java
• koaly-exp-engine-service
• msaccess
• MsDtSrvr
• mspub
• mydesktopqos
• mydesktopservice
• mysqld
• node
• notepad
• notepad++
• ocautoupds
• ocomm
• ocssd
• onenote
• ONENOTEM
• oracle
• outlook
• powerpnt
• ProcessHacker
• Procexp
• Procexp64
• procexp64a
• procmon
• procmon64
• procmon64a
• pvlsvr
• QBDBMgr
• QBDBMgrN
• QBIDPService
• qbupdate
• QBW32
• Raccine
• Raccine_x86
• RaccineElevatedCfg
• RaccineSettings
• RAgui
• raw_agent_svc
• RdrCEF
• RTVscan
• sam
• Simply
• SimplyConnectionManager
• sqbcoreservice
• sqlbrowser
• sqlmangr
• Sqlservr
• Ssms
• steam
• supervise
• sync-taskbar
• synctime
• sync-worker
• Sysmon
• Sysmon64
• SystemExplorer
• SystemExplorerService
• SystemExplorerService64
• SystemTrayIcon
• tbirdconfig
• tcpview
• tcpview64
• tcpview64a
• tdsskiller
• TeamViewer
• TeamViewer_Service
• thebat
• thunderbird
• TitanV
• tomcat6
• Totalcmd
• Totalcmd64
• tv_w32
• tv_x64
• VeeamDeploymentSvc
• visio
• vsnapvss
• vxmon
• wdswfsafe
• winword
• WireShark
• wordpad
• wsa_service
• wxServer
• wxServerView
• xfssvccon
• ZhuDongFangYu

Andere Details

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.lockbit

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.lockbit\DefaultIcon

HKEY_CURRENT_USER\Software\FA0C50E256FCBA

Es macht Folgendes:

• It has the capability to print the ransom note in infected machines.
• It encrypts files found in the following drive types:
  • Fixed drive
  • Removable drive
  • Network drive
  • RAM Disks