Ransom.Win32.NETWALKER.YPAA-A

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Löscht sich nach der Ausführung selbst.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %Program Files%\{8 random characters}\{8 random characters}.exe
• %Application Data%\{8 characters}\{8 characters}.exe -> If it fails to drop a copy of itself in the %Program Files% directory

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

• %System%\vssadmin.exe delete shadows /all /quiet
• %System%\explorer.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

Erstellt die folgenden Ordner:

• %Program Files%\{8 random characters}
• %Application Data%\{8 random characters}

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Injiziert sich selbst in die folgenden Prozesse, um speicherresident ausgeführt zu werden:

• explorer.exe

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{8 random characters} = "%Program Files%\{8 random characters}\{8 random characters}.exe"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{8 random characters} = "%Program Files%\{8 random characters}\{8 random characters}.exe"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{8 random characters} = "%Application Data%\{8 random characters}\{8 random characters}.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{8 random characters} = "%Application Data%\{8 random characters}\{8 random characters}.exe"

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\{8 random characters}
{8 random characters} = "{hex values}"

HKEY_CURRENT_USER\SOFTWARE\{8 random characters}
{8 random characters} = "{hex values}"

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

• AcronisAgent
• AcrSch2Svc
• acrsch2svc
• apach
• ARSM
• backup
• backup
• cbvscserv
• dc32
• firebird
• hMailServer
• IASJet
• IBM Domino
• ibmiasrw
• IISADMIN
• Lotus
• MMS
• mr2kserv
• MSExchange
• omsad
• QB
• QuickBooksDB
• server Administrator
• ShadowProtectSvc
• Simply Accounting Database Connection Manager
• SP4
• SPXService
• sql
• sql
• stc_endpt_svc
• StorageCraft ImageManager
• teamviewer
• veeam
• vsnapvss
• wbengine
• wrsvc

Beendet die folgenden Prozesse, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• *sql*
• agent*
• agntsvc.exe
• apach*
• b1*
• ba*
• bd2*
• be*
• bes10*
• black*
• cbservi*
• cbvscserv*
• cfdot*
• coldfus*
• db*
• dbeng50.exe
• dbsnmp.exe
• encsvc.exe
• excel.exe
• fdlaunch*
• firefoxconfig.exe
• hMailServer*
• IBM*
• infopath.exe
• jetty.exe
• msaccess.exe
• msdtssr*
• msmdsrv*
• mspub.exe
• mydesktopqos.exe
• mydesktopservice.exe
• nservice.exe
• nslsvice.exe
• ntrtscan.exe
• ocautoupds.exe
• ocomm.exe
• ocssd.exe
• onenote.exe
• oracle*
• oracle.exe
• outlook.exe
• pg*
• postg*
• powerpnt.exe
• QB*
• report*
• sage*
• sap*
• sqbcoreservice.exe
• sql*
• store.exe
• swag*
• swstrtr*
• synctime.exe
• tbirdconfig.exe
• team*
• thebat.exe
• thebat64.exe
• thunderbird.exe
• vee*
• visio.exe
• wbengine*
• winword.exe
• wordpad.exe
• wrsa.exe
• xfssvccon.exe

Andere Details

Es macht Folgendes:

• It deletes the created autorun registry and dropped copy if the encryption of all the files in the system is finished.
• For the registry keys/entries, it will only create a single entry which depends on the execution privilege of malware (either with administrative rights or not)

Löscht sich nach der Ausführung selbst.