Ransom.Win32.Exorcist.A

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Fügt die folgenden Prozesse hinzu:

• wmic.exe SHADOWCOPY DELETE /nointeractive
• wbadmin DELETE SYSTEMSTATEBACKUP
• wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
• bcdedit.exe /set {default} recoveryenabled No
• bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
• vssadmin.exe Delete Shadows /All /Quiet
• C:\Windows\system32\vssvc.exe

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• KgexAmqjYXQWQuk2Zaoqci0hs9jr77UsuVmF751

Andere Systemänderungen

Stellt auf dem System das folgende Bild als Desktop-Hintergrundbild ein:

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• MSSQL$MICROSOFT##WID*
• wxServer*
• wxServerView*
• sqlmangr*
• RAgui*
• supervise*
• Culture*
• Defwatch*
• winword*
• QBW32*
• QBDBMgr*
• qbupdate*
• axlbridge*
• httpd*
• fdlauncher*
• MsDtSrvr*
• java*
• 360se*
• 360doctor*
• wdswfsafe*
• fdhost*
• GDscan*
• ZhuDongFangYu*
• QBDBMgrN*
• mysqld*
• AutodeskDesktopApp*
• acwebbrowser*
• Creative Cloud*
• Adobe Desktop Service*
• CoreSync*
• Adobe CEF Helper*
• node*
• AdobeIPCBroker*
• sync-taskbar*
• sync-worker*
• InputPersonalization*
• AdobeCollabSync*
• BrCtrlCntr*
• BrCcUxSys*
• SimplyConnectionManager*
• Simply.SystemTrayIcon*
• fbguard*
• fbserver*
• ONENOTEM*
• wrapper*
• DefWatch*
• ccEvtMgr*
• ccSetMgr*
• SavRoam*
• Sqlservr*
• sqlagent*
• sqladhlp*
• Culserver*
• RTVscan*
• sqlbrowser*
• SQLADHLP*
• QBIDPService*
• Intuit.QuickBooks.FCS*
• QBCFMonitorService*
• sqlwriter*
• msmdsrv*
• tomcat6*
• zhudongfangyu*
• vmware-usbarbitator64*
• vmware-converter*
• dbsrv12*
• dbeng8*
• MSSQL$VEEAMSQL2012*
• SQLAgent$VEEAMSQL2012*
• SQLBrowser*
• SQLWriter*
• FishbowlMySQL*
• MySQL57*
• MSSQL$KAV_CS_ADMIN_KIT*
• MSSQLServerADHelper100*
• SQLAgent$KAV_CS_ADMIN_KIT*
• msftesql-Exchange*
• MSSQL$MICROSOFT##SSEE*
• MSSQL$SBSMONITORING*
• MSSQL$SHAREPOINT*
• MSSQLFDLauncher$SBSMONITORING*
• MSSQLFDLauncher$SHAREPOINT*
• SQLAgent$SBSMONITORING*
• SQLAgent$SHAREPOINT*
• QBFCService*
• QBVSS*

Datendiebstahl

Folgende Daten werden gesammelt:

• User ID
• Build ID
• Appended Extension
• OS Version
• User Name
• Computer Name
• RSA Key
• Local Information
• Is user admin
• Is system a server
• Does system have ru keys
• OS Architecture

Entwendete Daten

Sendet die gesammelten Daten über HTTP-POST an den folgenden URL:

• {BLOCKED}.{BLOCKED}.117.26:80

Andere Details

Es macht Folgendes:

• It will not perform its ransomware routine if the geolocation of affected system is any of the following:
  • russian
  • armenian
  • belarusian
  • georgian
  • kazakh
  • tajik
  • turkmen
  • ukrainian
  • uzbek
  • azerbaijani
• Executes the following command if the above condition is satisfied:
  • """%system%\cmd.exe"" /C timeout /T 15 /NOBREAK && del ""{Malware Directory}\{Malware Name}.exe"" /F"