Analysé par: Nikko Tamana   
 

Generic.Ransom.Magniber.F8E5B4A7 (Bitdefender), a variant of Win32/Filecoder.Magniber.A trojan (NOD32)

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels: :
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Ransomware

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Verwendet den Windows Task-Planer, um einen geplanten Task zu erstellen, der die eingeschleuste Kopie ausführt. Wird ausgeführt und löscht sich dann selbst.

  Détails techniques

File size: 48,640 bytes
File type: EXE
Date de réception des premiers échantillons: 23 octobre 2017

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %User Temp%\fprgbk.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

  • "cmd.exe" /c "%System%\wbem\wmic shadowcopy delete"
  • %System%\eventvwr.exe
  • ping localhost -n 3
  • schtasks /create /SC MINUTE /MO 15 /tn fprgbk /TR pcalua.exe -a %User Temp%\fprgbk.exe
  • schtasks /create /SC MINUTE /MO 15 /tn {random alphanumeric characteristics} /TR %User Temp%\READ_ME_FOR_DECRYPT_{random alphanumeric characteristics}_.txt
  • pcalua.exe -a eventvwr.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Verwendet den Windows Task-Planer, um einen geplanten Task zu erstellen, der die eingeschleuste Kopie ausführt.

Wird ausgeführt und löscht sich dann selbst.