Ransom.Win64.MEDUSALOCKER.AA

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Fügt die folgenden Prozesse hinzu:

• vssadmin.exe Resize ShadowStorage /for=c: /on=c: /maxsize=401MB
• vssadmin.exe Resize ShadowStorage /for=c: /on=c: /maxsize=unbounded
• vssadmin.exe Resize ShadowStorage /for=d: /on=d: /maxsize=401MB
• vssadmin.exe Resize ShadowStorage /for=d: /on=d: /maxsize=unbounded
• vssadmin.exe Resize ShadowStorage /for=e: /on=e: /maxsize=401MB
• vssadmin.exe Resize ShadowStorage /for=e: /on=e: /maxsize=unbounded
• vssadmin.exe Resize ShadowStorage /for=f: /on=f: /maxsize=401MB
• vssadmin.exe Resize ShadowStorage /for=f: /on=f: /maxsize=unbounded
• vssadmin.exe Resize ShadowStorage /for=g: /on=g: /maxsize=401MB
• vssadmin.exe Resize ShadowStorage /for=g: /on=g: /maxsize=unbounded
• vssadmin.exe Resize ShadowStorage /for=h: /on=h: /maxsize=401MB
• vssadmin.exe Resize ShadowStorage /for=h: /on=h: /maxsize=unbounded
• vssadmin.exe Delete Shadows /All /Quiet
• del /s /f /q c:\*.VHD c:\*.bac c:\*.bak c:\*.wbcat c:\*.bkf c:\Backup*.* c:\backup*.* c:\*.set c:\*.win c:\*.dsk
• del /s /f /q d:\*.VHD d:\*.bac d:\*.bak d:\*.wbcat d:\*.bkf d:\Backup*.* d:\backup*.* d:\*.set d:\*.win d:\*.dsk
• del /s /f /q e:\*.VHD e:\*.bac e:\*.bak e:\*.wbcat e:\*.bkf e:\Backup*.* e:\backup*.* e:\*.set e:\*.win e:\*.dsk
• del /s /f /q f:\*.VHD f:\*.bac f:\*.bak f:\*.wbcat f:\*.bkf f:\Backup*.* f:\backup*.* f:\*.set f:\*.win f:\*.dsk
• del /s /f /q g:\*.VHD g:\*.bac g:\*.bak g:\*.wbcat g:\*.bkf g:\Backup*.* g:\backup*.* g:\*.set g:\*.win g:\*.dsk
• del /s /f /q h:\*.VHD h:\*.bac h:\*.bak h:\*.wbcat h:\*.bkf h:\Backup*.* h:\backup*.* h:\*.set h:\*.win h:\*.dsk
• del %0
• bcdedit.exe /set {default} recoveryenabled No
• bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
• wbadmin DELETE SYSTEMSTATEBACKUP
• wmic.exe SHADOWCOPY /nointeractive
• %System%\cmd.exe /c del {Malware File Path}\{Malware File Name}.exe >>NUL → delete itself after execution

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• {8761ABBD-7F85-42EE-B272-A76179687C63}

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
MSFEEditor = "{Malware File Path}\{Malware File Name.exe}" e

Startet die folgenden Dienste:

• LanmanWorkstation

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnabledLinkedConnections = 1

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

• ccEvtMgr
• ccSetMgr
• Culserver
• DefWatch
• Intuit.QuickBooks.FCS
• MsDtsServer100
• msmdsrv
• MSSQLFDLauncher
• MSSQLSERVER
• MSSQLServerADHelper100
• MSSQLServerOLAPService
• QBCFMonitorService
• QBIDPService
• ReportServer
• RTVscan
• SavRoam
• sqladhlp
• SQLADHLP
• sqlagent
• sqlbrowser
• SQLBrowser
• SQLSERVERAGENT
• sqlservr
• sqlwriter
• SQLWriter
• wrapper

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• axlbridge.exe
• Culture.exe
• Defwatch.exe
• fdhost.exe
• fdlauncher.exe
• httpd.exe
• MsDtsSrvr.exe
• onenotem.exe
• QBCFMonitorService.exe
• QBDBMgr.exe
• QBIDPService.exe
• qbupdate.xe
• QBW32.exe
• RAgui.exe
• RTVscan.exe
• sqlbrowser.exe
• sqlmangr.exe
• sqlservr.exe
• sqlwriter.exe
• ssms.exe
• supervise.exe
• winword.exe
• Winword.exe
• wxServer.exe
• wxServerView

Einschleusungsroutine

Schleust die folgenden Dateien ein:

• %Application Data%\KEY.FILE

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Andere Details

Es macht Folgendes:

• This ransomware affects all existing drives in the system
• It also encrypts files from network shares.
• It uses Windows Restart Manager to unlock files it will encrypt.
• It empties the recycle bin