Ransom.Win32.RAGNAR.A

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Fügt die folgenden Prozesse hinzu:

• wmic.exe shadowcopy delete → deletes shadow copies
• vssadmin delete shadows /all /quiet → deletes shadow copies

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• backup
• connectwise
• Dfs
• logme
• logmein
• memtas
• mepocs
• mysql
• pulseway
• sophos
• splashtop
• sql
• veeam
• vmcompute
• vmms
• vss
• agntsvc
• benetns
• bengine
• beremote
• beserver
• dbeng50
• dbsnmp
• dfsrs.exe
• dfssvc.exe
• EduLink2SIMS
• encsvc
• excel
• fdhost
• firefox
• infopath
• isqlplussvc
• msaccess
• mspub
• mydesktopqos
• mydesktopservice
• ocautoupds
• ocomm
• ocssd
• onenote
• oracle
• outlook
• OWSTIMER
• postgres
• powerpnt
• pvlsvr
• SAVAdminService
• SavService.exe
• sqbcoreservice
• steam
• swc_service.exe
• synctime
• tbirdconfig
• thebat
• thunderbird
• visio
• VxLockdownServer
• winword
• wordpad
• WSSADMIN
• wsstracing
• xfssvccon

Andere Details

Es macht Folgendes:

• It checks for the computer's language and terminates itself if any the following language is detected:
  
  • Armenian
  • Azerbaijani
  • Belorussian
  • Georgian
  • Kazakh
  • Kyrgyz
  • Moldavian
  • Russian
  • Tajik
  • Turkmen
  • Ukrainian
  • Uzbek