Ransom.Win32.CONTI.FAIL
HEUR:Trojan.Win32.Convagent.gen (KASPERSKY);
Windows
Malware-Typ:
Ransomware
Zerstrerisch?:
Nein
Verschlsselt?:
Ja
In the wild::
Ja
Überblick
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Technische Details
Übertragungsdetails
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Installation
Schleust die folgenden Dateien ein:
- %User Temp%\IXP{3 Digit Number}.TMP\Convulsa.aif → Encoded Autoit Script
- %User Temp%\IXP{3 Digit Number}.TMP\Mantenere.mp3 → Encoded Batch Script
- %User Temp%\IXP{3 Digit Number}.TMP\Qua.vob → Encoded Conti Executable
- %User Temp%\IXP{3 Digit Number}.TMP\Seduce.pdf → Incomplete AutoIt.exe
- %User Temp%\IXP{3 Digit Number}.TMP\Pel.wks → Decoded Batch Script
- %User Temp%\IXP{3 Digit Number}.TMP\fontdrvhost.com → Fixed AutoIt.exe
- %User Temp%\IXP{3 Digit Number}.TMP\u → Decoded AutoIt Script
- {Malware Path}\{Filename from -log argument} → If -log argument is used
Fügt die folgenden Prozesse hinzu:
- %System%\cmd.exe /c kWdQZqX
- %System%\cmd.exe /c certutil -decode Mantenere.mp3 Pel.wks & cmd < Pel.wks
fontdrvhost.com - findstr /V /R "^bvkNtqCXyvaCYObJkczHScDjeUGQ$" Seduce.pdf >> fontdrvhost.com
- certutil -decode Convulsa.aif u
- start fontdrvhost.com u
- ping 127.0.0.1 -n 30
- %User Temp%\IXP{3 Digit Number}.TMP\fontdrvhost.com
- %System%\cmd.exe /c %System%\wbem\WMIC.exe shadowcopy where "ID={Shadowcopy ID}" delete → It will repeat this process depending on the number of shadow copies.
Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:
- hsfjuukjzloqu28oajh727190
Injiziert Code in die folgenden Prozesse:
- %User Temp%\IXP{3 Digit Number}.TMP\fontdrvhost.com
Andere Details
Es macht Folgendes:
- It uses the Windows Restart Manager to unlock files it will encrypt.
- It checks the connection to the following Domain Names using the command ping -n {Domain Name} and will terminate if the connection was succesful:
- {BLOCKED}VjZNprwTYLlzMTM.YcaRetVjZNprwTYLlzMTM
- {BLOCKED}P.tKeDLKP
Lösungen
Step 2
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 3
<p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p><p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p>
Step 4
Im abgesicherten Modus neu starten
Step 5
Diese Datei suchen und löschen
- {Encrypted Directory}\readme.txt
- {Malware Path}\{Filename from -log argument}
Step 6
Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als Ransom.Win32.CONTI.FAIL entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Step 7
Restore encrypted files from backup.
Nehmen Sie an unserer Umfrage teil