Ransom.Win32.CONTI.SM.hp

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Infiltra los archivos siguientes:

• %System Root%\CONTI_LOG.txt → If -log enables is used

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Agrega los procesos siguientes:

• cmd.exe /c %System%\wbem\WMIC.exe shadowcopy where "ID='{Shadow Copy ID}'" delete → It will repeat this process depending on the number of shadow copies.

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) y 10(64-bit) en C:\Windows\System32).

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• kjsidugaafaaaa

Otros detalles

Hace lo siguiente:

• By default, it encrypts local drives, removable drives, and network shares.
• When encrypting network shares it will check if the IP address starts with the following to ensure that it is encrypting local, non-internet, systems:
  • 172.
  • 192.168.
  • 10.
  • 169.
• It looks for database storage files by looking for the following strings in their file path:
  • .4dd
  • .4dl
  • .accdb
  • .accdc
  • .accde
  • .accdr
  • .accdt
  • .accft
  • .adb
  • .ade
  • .adf
  • .adp
  • .arc
  • .ora
  • .alf
  • .ask
  • .btr
  • .bdf
  • .cat
  • .cdb
  • .ckp
  • .cma
  • .cpd
  • .dacpac
  • .dad
  • .dadiagram
  • .daschema
  • .db
  • .db-shm
  • .db-wal
  • .db3
  • .dbdbf
  • .dbs
  • .dbt
  • .dbv
  • .dbx
  • .dcb
  • .dct
  • .dcx
  • .ddl
  • .dlis
  • .dp1
  • .dqy
  • .dsk
  • .dsn
  • .dtsx
  • .dxl
  • .eco
  • .ecx
  • .edb
  • .epim
  • .exb
  • .fcd
  • .fdb
  • .fic
  • .fmp
  • .fmp12
  • .fmpsl
  • .fol
  • .fp3
  • .fp4
  • .fp5
  • .fp7
  • .frm
  • .fpt
  • .frmgdb
  • .grdb
  • .gqi
  • .hdb
  • .his
  • .ib
  • .idb
  • .ihx
  • .itdb
  • .itw
  • .het
  • .htx
  • .kdb
  • .kexi
  • .kexic
  • .kexis
  • .lgc
  • .lwx
  • .maf
  • .maq
  • .mar
  • .mas
  • .mav
  • .mdb
  • .mdf
  • .mpd
  • .mrg
  • .mud
  • .mwb
  • .myd
  • .ndf
  • .nnt
  • .nrmlib
  • .ns2
  • .ns3
  • .ns4
  • .nsf
  • .nv
  • .nv2
  • .nwdb
  • .nyf
  • .odb
  • .oqy
  • .orx
  • .owc
  • .p96
  • .p97
  • .pan
  • .pdb
  • .pdm
  • .pnz
  • .qry
  • .qvd
  • .rbf
  • .rctd
  • .rod
  • .rodx
  • .rpd
  • .rsd
  • .sas7bdat
  • .sbf
  • .scx
  • .sdb
  • .sdc
  • .sdf
  • .sis
  • .spq
  • .sql
  • .sqlite
  • .sqlite3
  • .sqlitedb
  • .te
  • .temx
  • .tmd
  • .tps
  • .trc
  • .trm
  • .udb
  • .udl
  • .usr
  • .v12
  • .vis
  • .vpd
  • .vvv
  • .wdb
  • .wmdb
  • .wrk
  • .xdb
  • .xld
  • .xmlff
  • .abcddb
  • .abs
  • .abx
  • .accdw
  • .adn
  • .db2
  • .fm5
  • .hjt
  • .icg
  • .icr
  • .kdb
  • .lut
  • .maw
  • .mdn
  • .mdt
  • .txt
  • .xls
  • .xlsx
  • .rtf
  • .doc
  • .docx
  • .jpg
  • .jpeg
  • .png
  • .sln
  • .h
  • .c
  • .cpp
  • .cxx
  • .cs
  • .vb
  • .pdf
• It looks for disk image files by looking for the following file extensions in their file path:
  • .vhd
  • .vmdk
  • .pvm
  • .vmem
  • .vmsn
  • .vmsd
  • .nvram
  • .vmx
  • .raw
  • .qcow2
  • .subvol
  • .bin
  • .vsv
  • .avhd
  • .vmrs
  • .vhdx
  • .avdx
  • .vmcx
  • .iso
  • .rar
  • .zip
  • .7z
  • .001
  • .002
  • .002
  • .004
  • .005
  • .006
  • .007
  • .008
  • .009
  • .bak
• It uses the Windows Restart Manager to unlock files it will encrypt.