Ransom.MSIL.EGOGEN.THEBBBC

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Fügt bestimmte Registrierungseinträge hinzu, um den Task-Manager zu deaktivieren. Dies verhindert, dass Benutzer den Malware-Prozess beenden, was normalerweise über den Task-Manager möglich ist.

Beendet sich selbst, falls festgestellt wird, dass die Ausführung in einer virtuellen Umgebung erfolgt.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Dateien ein:

• %AppDataLocal%\discord.exe
• %Application Data%\ID
• %Application Data%\fondo_antiguo.jpg → Copy of current background
• %User Profile%\Pictures\image[Random 30 characters].jpg → deleted afterwards
• %User Startup%\BXIuSsB.exe
• %User Temp%\Adobe\BXIuSsB.exe
• %User Temp%\[Random 7 characters]_dat.log
• %Application Data%\delback.bat
• %User Startup%\update.bat

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{user name} unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT, C:\Documents and Settings\{Benutzername}\Startmenü\Programme\Autostart unter Windows 2003(32-bit), XP und 2000(32-bit) und C:\Users\{Benutzername}\AppData\Roaming\Microsoft\Windows\Startmenü\Programme\Autostart unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Schleust die folgenden Dateien ein und führt sie aus:

• %User Startup%\1.exe
• %User Startup%\archive.exe
• %User Startup%\Xarch.exe
• %User Startup%\teleratserver.exe

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT, C:\Documents and Settings\{Benutzername}\Startmenü\Programme\Autostart unter Windows 2003(32-bit), XP und 2000(32-bit) und C:\Users\{Benutzername}\AppData\Roaming\Microsoft\Windows\Startmenü\Programme\Autostart unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

• %Application Data%\Read Me First!.txt
• cmd "/c @echo off & echo github: https://{BLOCKED}t.me/{BLOCKED}69 & start https://{BLOCKED}t.me/{BLOCKED}69"
• vssadmin delete shadows /all /quiet
• bcdedit.exe /set {default} recoveryenabled no
• bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
• ping -n 1 -w 5000 {BLOCKED}.{BLOCKED}.254.254
• del "%User Startup%\BXIuSsB.exe"

Erstellt die folgenden Ordner:

• %User Temp%\Adobe → deleted after encryption

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
1 = %User Startup%\1.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
archive = %User Startup%\archive.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Xarch = %User Startup%\Xarch.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
discord = %AppDataLocal%\discord.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
teleratserver = %User Startup%\teleratserver.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
BXIuSsB = %User Startup%\BXIuSsB.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
BXIuSsB.exe = %User Temp%\Adobe\BXIuSsB.exe

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu, um den Task-Manager zu deaktivieren:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = 1

Ändert das Hintergrundbild des Desktops durch Abänderung der folgenden Registrierungseinträge:

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %User Profile%\Pictures\image[Random 30 characters].jpg

Stellt auf dem System das folgende Bild als Desktop-Hintergrundbild ein:

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• taskmgr
• sqlagent
• winword
• sqlbrowser
• sqlservr
• sqlwriter
• oracle
• ocssd
• dbsnmp
• synctime
• mydesktopqos
• agntsvc.exeisqlplussvc
• xfssvccon
• mydesktopservice
• ocautoupds
• agntsvc.exeagntsvc
• agntsvc.exeencsvc
• firefoxconfig
• tbirdconfig
• ocomm
• mysqld
• sql
• mysqld-nt
• mysqld-opt
• dbeng50
• sqbcoreservice

Andere Details

Beendet sich selbst, falls festgestellt wird, dass die Ausführung in einer virtuellen Umgebung erfolgt.

Es macht Folgendes:

• It does not proceed with its encryption routine if one of the following conditions are met:
  
  • Registry data under HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Disk\Enum contains the following strings:
    • VBOX
    • Virtual
    • VMware
  • Processes contain the following strings:
    • VBox
    • prl_
    • srvc.exe
    • vmtoolsd
• It will drop this ransom note instead if it meets one of the following conditions:
  • If the OS name contains "Serv" and System Language is one of the following:
  • Arabic, Dutch, English, French, German, Italian, Korean, Portuguese, Spanish, Swedish, Bulgarian, Catalan, Czech, Danish, Greek, Estonian, Basque, Finnish, Hungarian, Japanese, Lithuanian, Norwegian, Polish, Romanian, Sami, Slovak, Slovenian, Turkish
  • The number of encrypted files is greater than 5000
  
  
• Renames the encrypted files to [(Original File Name) converted to base64]
• It encrypts fixed, removable and network drives
• It terminates if the machine has the following system language:
  • Russian
  • Belarusian
  • Ukrainian
  • Kazakh
  • Armenian
  • Georgian
  • Tatar
  • Uzbek
• Displays a fake Windows Update upon installation