Ransom.PS1.NEDIB.THCBIBD

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Fügt die folgenden Prozesse hinzu:

• "%System%\NOTEPAD.EXE" %Desktop%\README.txt

(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\Desktop unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Andere Systemänderungen

Ändert das Hintergrundbild des Desktops durch Abänderung der folgenden Registrierungseinträge:

HKEY_CURRENT_USER\control panel\desktop
wallpaper = %Temp%\photo.jpg

Datendiebstahl

Folgende Daten werden gesammelt:

• satellite:IP
  • IP address
• bust_in_silhouette: User Information
  • Language
  • Current date and time
  • User Name
  • Computer Name
• shield: Antivirus
  • Installed antivirus software
• computer: Hardware
  • Display resolution
  • OS version
  • OS build
  • Manufacturer
  • Model
  • CPU name
  • GPU name
  • RAM
  • UUID
  • MAC address
  • Uptime
• floppy_disk: Disk
  • All disk information

Andere Details

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• .7z
• .docx
• .gif
• .gz
• .ini
• .jpg
• .pdf
• .psd
• .png
• .rtf
• .txt
• .zip
• .accd
• .avi
• .csv
• .doc
• .jpeg
• .midi
• .mov
• .mp3
• .mp4
• .mpeg
• .mpeg2
• .mpeg3
• .mpg
• .ogg
• .ppt
• .xls

Es macht Folgendes:

• It deletes all shadow copies on the system.
• It attempts to download from this URL to use as wallpaper
  • https://{BLOCKED}fshore.cat/HrD5nI4Z.cat → %Temp%\photo.jpg