Ransom.Win64.FONIX.B

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Fügt bestimmte Registrierungseinträge hinzu, um den Task-Manager zu deaktivieren. Dies verhindert, dass Benutzer den Malware-Prozess beenden, was normalerweise über den Task-Manager möglich ist.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Fügt die folgenden Ordner hinzu:

• %User Temp%\IXP000.TMP

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Schleust die folgenden Dateien ein:

• %User Temp%\IXP000.TMP\XINOF.exe
• %User Temp%\IXP000.TMP\SystemScheduler.exe
• %User Temp%\IXP000.TMP\Cpriv.key
• %User Temp%\IXP000.TMP\Cpub.key
• %User Temp%\IXP000.TMP\SystemID
• %User Temp%\IXP000.TMP\Help.txt
• %User Temp%\Cpriv.key
• %User Temp%\Cpub.key
• %ProgramData%\Cpriv.key
• %ProgramData%\Cpub.key
• %ProgramData%\CrptSrvcFLG
• %ProgramData%\SystemID
• %ProgramData%\Help.txt
• %ProgramData%\Hello {Name}
• {Encrypted Directory}\Cpriv.key

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

• %System%\cmd.exe /c schtasks /CREATE /SC ONLOGON /TN fonix /TR %ProgramData%\XINOF.exe /RU SYSTEM /RL HIGHEST /F
• %System%\cmd.exe /c copy XINOF.exe %appdata%\Microsoft\Windows\Start Menu\Programs\Startup\XINOF.exe
• %System%\cmd.exe /c attrib +h +s %User Startup%\XINOF.exe
• %System%\cmd.exe /c reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ /v "PhoenixTechnology" /t REG_SZ /d %ProgramData%\XINOF.exe /f
• %System%\cmd.exe /c reg add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ /v "PhoenixTechnology" /t REG_SZ /d %ProgramData%\XINOF.exe /f
• %System%\cmd.exe /c reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ /v "PhoenixTechnology" /t REG_SZ /d %ProgramData%\XINOF.exe /f
• %System%\cmd.exe /c reg add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ /v "PhoenixTechnology" /t REG_SZ /d %ProgramData%\XINOF.exe /f
• %System%\cmd.exe /c reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f
• %System%\cmd.exe /c reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f
• %System%\cmd.exe /c reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f
• %System%\cmd.exe /c reg delete HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot /va /F
• %System%\cmd.exe /c reg delete HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot /va /F
• %System%\cmd.exe /c reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System" /v AllowBlockingAppsAtShutdown /t REG_DWORD /d 1 /f
• %System%\cmd.exe /c reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoClose /t REG_DWORD /d 1 /f
• %System%\cmd.exe /c reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v StartMenuLogOff /t REG_DWORD /d 1 /f
• %System%\cmd.exe /c icacls * /grant Everyone:(OI)(CI)F /T /C /Q
• %System%\cmd.exe /c Copy Cpriv.key %ProgramData%\Cpriv.key
• %System%\cmd.exe /c Copy Cpub.key %ProgramData%\Cpub.key
• %System%\cmd.exe /c Copy SystemID %ProgramData%\SystemID

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT, C:\Documents and Settings\{Benutzername}\Startmenü\Programme\Autostart unter Windows 2003(32-bit), XP und 2000(32-bit) und C:\Users\{Benutzername}\AppData\Roaming\Microsoft\Windows\Startmenü\Programme\Autostart unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• FakeMutex
• FonixCryptServiceMUTEX

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
PhoenixTechnology = %ProgramData%\XINOF.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
PhoenixTechnology = %ProgramData%\XINOF.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
PhoenixTechnology = %ProgramData%\XINOF.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
PhoenixTechnology = %ProgramData%\XINOF.exe

Schleust die folgenden Dateien in den benutzerspezifischen Autostart-Ordner von Windows ein, um sich selbst bei jedem Systemstart auszuführen.

• %User Startup%\XINOF.exe

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT, C:\Documents and Settings\{Benutzername}\Startmenü\Programme\Autostart unter Windows 2003(32-bit), XP und 2000(32-bit) und C:\Users\{Benutzername}\AppData\Roaming\Microsoft\Windows\Startmenü\Programme\Autostart unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\System
AllowBlockingAppsAtShutdown = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoClose = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
StartMenuLogOff = 1

Fügt die folgenden Registrierungseinträge hinzu, um den Task-Manager zu deaktivieren:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = 1

Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender
DisableAntiSpyware = 1

Löscht die folgenden Registrierungsschlüssel:

HKEY_CURRENT_USER\System\CurrentControlSet\
Control\SafeBoot

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Control\SafeBoot

Dateiinfektion

Vermeidet es, Dateien zu infizieren, deren Name diese Zeichenfolgen enthält:

• SystemScheduler.exe
• Hello {Name}
• Cpub.key
• Cpriv.ket
• FonixDecrypter.exe
• CrptSrvcFLG
• How To Decrypt.hta
• Help.txt

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• agntsvc.exe
• dbeng50.exe
• dbsnmp.exe
• encsvc.exe
• endnote.exe
• excel.exe
• filemon.exe
• firefoxconfig.exe
• infopath.exe
• isqlpplussvc.exe
• isqlpussvc.exe
• msaccess.exe
• msftesql.exe
• mspub.exe
• mydesktopqos.exe
• mydesktopservice.exe
• mysqld-nt.exe
• mysqld-opt.exe
• mysqld.exe
• netmon.exe
• notepad++.exe
• notepad.exe
• ntoskrnl.exe
• ocautoupds.exe
• ocomm.exe
• ocssd.exe
• onenote.exe
• oracle.exe
• outlook.exe
• paint.exe
• powerpnt.exe
• procmon.exe
• regmon.exe
• Sandboxiedcomlaunch.exe
• sqbcoreservice.exe
• sqlagent.exe
• sqlbrowser.exe
• sqlservr.exe
• sqlwriter.exe
• Ssms.exe
• stream.exe
• synctime.exe
• taskmgr.exe
• tbirdconfig.exe
• thebat.exe
• thebat64.exe
• Thunderbird.exe.visio.exe
• vboxservice.exe
• vboxtray.exe
• vmtoolsd.exe
• vmwareservice.exe
• vmwareuser.exe
• winword.exe
• wireshark.exe
• wordpad.exe
• xfssvccon.exe