Ransom.Win32.NOESCAPE.C

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Dateien ein:

• %Application Data%\CoreSvc.exe -> copy of itself
• %Application Data%\wallpaper.jpg

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

• wmic SHADOWCOPY DELETE /nointeractive
• wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
• vssadmin Delete Shadows /All /Quiet
• wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0

Andere Systemänderungen

Stellt auf dem System das folgende Bild als Desktop-Hintergrundbild ein:

• {noescape_wallpaper.png}
  

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

• Culserver
• DefWatch
• GxBlr
• GxCIMgr
• GxCVD
• GxFWD
• GxVss
• QBCFMonitorService
• QBIDPService
• RTVScan
• SavRoam
• VMAuthdService
• VMUSBArbService
• VMnetDHCP
• VMwareHostd
• backup
• ccEvtMgr
• ccSetMgr
• dbeng9
• dbsrv12
• memtas
• mepocs
• msexchange
• msmdsrv
• sophos
• sql
• sqladhlp
• sqlagent
• sqlbrowser
• sqlservr
• sqlwriter
• svc$
• tomcat6
• veeam
• cmware-converter
• vmware-usbarbitator64
• vss

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• 360doctor.exe
• 360se.exe
• Culture.exe
• DefWatch.exe
• GDscan.exe
• MsDtSrvr.exe
• QBCFMonitorService.exe
• QBDBMgr.exe
• QBIDPService.exe
• QBW32.exe
• RAgui.exe
• RTVscan.exe
• agntsvc.exe
• agntsvcencsvc.exe
• agntsvcisqlplussvc.exe
• anvir.exe
• anvir64.exe
• apache.exe
• axlbridge.exe
• backup.exe
• ccleaner.exe
• ccleaner64.exe
• dbeng50.exe
• dbsnmp.exe
• encsvc.exe
• excel.exe
• far.exe
• fdhost.exe
• fdlauncher.exe
• httpd.exe
• infopath.exe
• isqlplussvc.exe
• java.exe
• kingdee.exe
• msaccess.exe
• msftesql.exe
• mspub.exe
• mudesktopqos.exe
• mydesktopservice.exe
• mysqld-nt.exe
• mysqld-opt.exe
• mysqld.exe
• ncsvc.exe
• ocautoupds.exe
• ocomm.exe
• ocssd.exe
• onedrive.exe
• onenote.exe
• oracle.exe
• outlook.exe
• powerpnt.exe
• procexp.exe
• qbupdate.exe
• sqbcoreservice.exe
• sql.exe
• sqlagent.exe
• sqlbrowser.exe
• sqlmangr.exe
• sqlserver.exe
• sqlservr.exe
• sqlwriter.exe
• steam.exe
• supervise.exe
• synctime.exe
• taskkill.exe
• tasklist.exe
• tbirdconfig.exe
• thebat.exe
• thunderbird.exe
• tomcat.exe
• tomcat6.exe
• u8.exe
• ufida.exe
• visio.exe
• wdswfsafe.exe
• winword.exe
• wordpad.exe
• wuauclt.exe
• wxServer.exe
• wxServerView.exe
• xfssvcon.exe
• vmcompute.exe
• vmwp.exe
• vmms.exe
• vds.exe

Datendiebstahl

Folgende Daten werden gesammelt:

• System Volume Information
• OS Version
• Username
• Hostname
• Processor Information
• System Language

Andere Details

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
ConsentPromptBehavior = 0

Es macht Folgendes:

• Encrypts local drives (A: to Z:)
• Encrypts network shares
• Deletes all the system state backups from the system
• Deletes shadow copies