Ransom.Win32.MATRIX.AF

Löscht Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

• {Malware Path}\{random characters}.exe

Schleust die folgenden Dateien ein:

• {Malware Path}\ALL_CrDfLDmp.tmp
• {Malware Path}\log.txt
• %Application Data%\{random characters}.bmp → used as wallpaper
• %Application Data%\{random characters}.bat → contains commands to remove volume shadow copies and disable system recovery
• %Application Data%\{random characters}.vbs → contains commands to create scheduled task
• {Malware Path}\{random characters}.exe → used for file handle manipulation
• {Malware Path}\{random characters}.bat → contains commands to take ownership of a file

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

• {Malware Path}\{8 random characters}.exe -n → if run without argument

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• MutexABAT → if run without argument
• MutexABATDONW → if run with argument

Andere Systemänderungen

Löscht die folgenden Dateien:

• %Application Data%\{random characters}.vbs
• %Application Data%\{random characters}.bat

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Ändert das Hintergrundbild des Desktops durch Abänderung der folgenden Registrierungseinträge:

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %Application Data%\{random characters}.bmp

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = 0

HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = 0

Stellt auf dem System das folgende Bild als Desktop-Hintergrundbild ein:

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• http://{BLOCKED}u.host/addrecord.php?apikey=abat_api_key&compuser={username}-PC{username}&sid=Q8x0bgxGTfMRkCsQ&phase=START

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• .mdf
• .ndf
• .ldf
• .myd
• .eql
• .sql
• .vhd
• .sqlite
• .sqlite3
• .sqlitedb
• .hwp
• .hwt
• .hml
• .hwdt
• .hwpx
• .cell
• .nxl
• .hcdt
• .nxts
• .how
• .hpt
• .hsdt
• .xlsx
• .xls
• .docx
• .doc
• .dot
• .dotx
• .odt
• .ods
• .bak
• .tib
• .dbs
• .db
• .dbk
• .db2
• .db3
• .dbc
• .dt
• .dbs
• .dbf
• .dbx
• .mdb
• .sdf
• .ndf
• .ns2
• .ns3
• .ns4
• .nsf
• .accdb
• .vpd
• .dwg
• .cdr
• .pdf
• .jpg
• .jpeg
• .psd
• .zip
• .rar
• .7z
• .tar
• .gz