Ransom.MSIL.HAKBIT.I

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Wird ausgeführt und löscht sich dann selbst.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Fügt die folgenden Prozesse hinzu:

• "reg.exe" delete HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend /f;
• "bcdedit.exe" /set {default} safeboot network;
• "reg.exe" add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d {Malware full path},"C:\Windows\system32\userinit.exe" /f;
• "net.exe" user {Username} "";
• "shutdown.exe", "/r /t 0"
• "cmd.exe" /C ping 127.0.0.7 -n 3 > Nul & fsutil file setZeroData offset=0 length=524288 “%s” & Del /f /q “%s”
• powershell.exe "Get-MpPreference -verbose"
• net.exe stop avpsus /y
• net.exe stop McAfeeDLPAgentService /y
• net.exe stop mfewc /y
• net.exe stop NetBackup BMR MTFTP Service /y
• net.exe stop DefWatch /y
• net.exe stop ccEvtMgr /y
• net.exe stop ccSetMgr /y
• net.exe stop SavRoam /y
• net.exe stop RTVscan /y
• net.exe stop QBFCService /y
• net.exe stop QBIDPService /y
• net.exe stop Intuit.QuickBooks.FCS /y
• net.exe stop QBCFMonitorService /y
• net.exe stop YooBackup /y
• net.exe stop YooIT /y
• net.exe stop zhudongfangyu /y
• net.exe stop stc_raw_agent /y
• net.exe stop VSNAPVSS /y
• net.exe stop VeeamTransportSvc /y
• net.exe stop VeeamDeploymentService /y
• net.exe stop VeeamNFSSvc /y
• net.exe stop veeam /y
• net.exe stop PDVFSService /y
• net.exe stop BackupExecVSSProvider /y
• net.exe stop BackupExecAgentAccelerator /y
• net.exe stop BackupExecAgentBrowser /y
• net.exe stop BackupExecDiveciMediaService /y
• net.exe stop BackupExecJobEngine /y
• net.exe stop BackupExecManagementService /y
• net.exe stop BackupExecRPCService /y
• net.exe stop AcrSch2Svc /y
• net.exe stop AcronisAgent /y
• net.exe stop CASAD2DWebSvc /y
• net.exe stop CAARCUpdateSvc /y
• net.exe stop sophos /y
• sc.exe config SQLTELEMETRY start= disabled
• sc.exe config SQLTELEMETRY$ECWDB2 start= disabled
• sc.exe config SQLWriter start= disabled
• sc.exe config SstpSvc start= disabled
• taskkill.exe /IM mydesktopservice.exe /F
• taskkill.exe /IM mspub.exe /F
• taskkill.exe /IM mydesktopqos.exe /F
• vssadmin.exe Delete Shadows /all /quiet
• vssadmin.exe resize shadowstorage /for={Drive from C to H} /on={Drive from C to H} /maxsize=401MB
• vssadmin.exe resize shadowstorage /for={Drive from C to H} /on={Drive from C to H} /maxsize=unbounded
• del.exe /s /f /q {Drive from C to H}\*.VHD {Drive from C to H}\*.bac {Drive from C to H}\*.bak {Drive from C to H}\*.wbcat {Drive from C to H}\*.bkf {Drive from C to H}\Backup*.* {Drive from C to H}\backup*.* {Drive from C to H}\*.set {Drive from C to H}\*.win {Drive from C to H}\*.dsk
• cmd.exe", "/c rd /s /q %SYSTEMDRIVE%\$Recycle.bin

Wird ausgeführt und löscht sich dann selbst.

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• Global\{GUID}

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
LegalNoticeText = All your files were encrypted, if you want to get them all back, please carefully read the text note located in your desktop...

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
LegalNoticeCaption = Information...

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• http analyzer stand-alone
• fiddler
• effetech http sniffer
• firesheep
• IEWatch Professional
• dumpcap
• wireshark
• wireshark portable
• sysinternals tcpview
• NetworkMiner
• NetworkTrafficView
• HTTPNetworkSniffer
• tcpdump
• intercepter
• Intercepter-NG
• ollydbg
• x64dbg
• dnspy
• dnspy-x86
• de4dot
• ilspy
• dotpeek
• dotpeek64
• ida64
• procexp
• procexp64
• RDG Packer Detector
• CFF Explorer
• PEiD
• protection_id
• LordPE
• pe-sieve
• MegaDumper
• UnConfuserEx
• Universal_Fixer
• NoFuserEx

Download-Routine

Lädt die Datei von folgendem URL herunter und benennt sie um, wenn sie auf dem betroffenen System gespeichert wird:

• https://raw.{BLOCKED}sercontent.com/d35ha/ProcessHide/master/bins/ProcessHide32.exe - if running on 32-bit
• https://raw.{BLOCKED}sercontent.com/d35ha/ProcessHide/master/bins/ProcessHide64.exe - if running on 64-bit

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

• %User Temp%\{random}.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Andere Details

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• .crypted

Es macht Folgendes:

• Monitors the following processes and hides itself using ProcessHide{32 or 64} if found running:
  • TaskMgr
  • ProcessHacker
  • procexp
• Deletes backup files from the drives
• Deletes contents of Recycle Bin
• It restarts the affected system in safe mode.