Analysé par: Nikko Tamana   
 

DeepScan:Generic.Ransom.Amnesia.F42DEF8A (Bitdefender), Trj/RansomCrypt.D (Panda)

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels: :
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Ransomware

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview


  Détails techniques

File size: 67072 bytes
File type: EXE
Date de réception des premiers échantillons: 02 novembre 2017

Installation

Schleust die folgenden Dateien ein:

  • %User Temp%\{GUID}.bat

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %Application Data%\Ghrome.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

  • %System%\cmd.exe /c vssadmin Delete Shadows /for=C: /All
  • %System%\cmd.exe /c vssadmin Delete Shadows /for=D: /All
  • %System%\cmd.exe /c vssadmin Delete Shadows /for=E: /All
  • %System%\cmd.exe /c vssadmin Delete Shadows /for=F: /All
  • %System%\cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
  • %System%\cmd.exe /c wmic SHADOWCOPY DELETE
  • %System%\cmd.exe /c vssadmin Delete Shadows /All /Quiet
  • %System%\cmd.exe /c bcdedit /set {default} recoveryenabled No
  • %System%\cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Hinterlässt Textdateien, um Lösegeld durch folgenden Inhalt zu erpressen:

  • {encrypted file path}\HOW TO RECOVER ENCRYPTED FILES.TXT

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKCU\Software\Microsoft\
Windows\CurrentVersion\RunOnce
{B5135AD2-D7D9-FFDC-0A8E-143026FB1938} = %Application Data%\Ghrome.exe

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKCU\Software\{B5135AD2-D7D9-FFDC-0A8E-143026FB1938}