Ransom.Win64.NERMER.A

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Fügt die folgenden Prozesse hinzu:

• vssadmin.exe Resize ShadowStorage /for=c: /on=c: /maxsize=401MB
• vssadmin.exe Resize ShadowStorage /for=c: /on=c: /maxsize=unbounded
• vssadmin.exe Resize ShadowStorage /for=d: /on=d: /maxsize=401MB
• vssadmin.exe Resize ShadowStorage /for=d: /on=d: /maxsize=unbounded
• vssadmin.exe Resize ShadowStorage /for=e: /on=e: /maxsize=401MB
• vssadmin.exe Resize ShadowStorage /for=e: /on=e: /maxsize=unbounded
• vssadmin.exe Resize ShadowStorage /for=f: /on=f: /maxsize=401MB
• vssadmin.exe Resize ShadowStorage /for=f: /on=f: /maxsize=unbounded
• vssadmin.exe Resize ShadowStorage /for=g: /on=g: /maxsize=401MB
• vssadmin.exe Resize ShadowStorage /for=g: /on=g: /maxsize=unbounded
• vssadmin.exe Resize ShadowStorage /for=h: /on=h: /maxsize=401MB
• vssadmin.exe Resize ShadowStorage /for=h: /on=h: /maxsize=unbounded
• vssadmin.exe Delete Shadows /All /Quiet
• To delete backup:
  • del /s /f /q c:\*.VHD c:\*.bac c:\*.bak c:\*.wbcat c:\*.bkf c:\Backup*.* c:\backup*.* c:\*.set c:\*.win c:\*.dsk
  • del /s /f /q d:\*.VHD d:\*.bac d:\*.bak d:\*.wbcat d:\*.bkf d:\Backup*.* d:\backup*.* d:\*.set d:\*.win d:\*.dsk
  • del /s /f /q e:\*.VHD e:\*.bac e:\*.bak e:\*.wbcat e:\*.bkf e:\Backup*.* e:\backup*.* e:\*.set e:\*.win e:\*.dsk
  • del /s /f /q f:\*.VHD f:\*.bac f:\*.bak f:\*.wbcat f:\*.bkf f:\Backup*.* f:\backup*.* f:\*.set f:\*.win f:\*.dsk
  • del /s /f /q g:\*.VHD g:\*.bac g:\*.bak g:\*.wbcat g:\*.bkf g:\Backup*.* g:\backup*.* g:\*.set g:\*.win g:\*.dsk
  • del /s /f /q h:\*.VHD h:\*.bac h:\*.bak h:\*.wbcat h:\*.bkf h:\Backup*.* h:\backup*.* h:\*.set h:\*.win h:\*.dsk
  • wbadmin DELETE SYSTEMSTATEBACKUP
• del %0
• bcdedit.exe /set {default} recoveryenabled No
• bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
• wmic.exe SHADOWCOPY /nointeractive

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• {8761ABBD-7F85-42EE-B272-A76179687C63}

Autostart-Technik

Startet die folgenden Dienste:

• LanmanWorkstation

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLinkedConnections = 1

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• wxServer.exe
• wxServerView
• sqlservr.exe
• sqlmangr.exe
• RAgui.exe
• supervise.exe
• Culture.exe
• RTVscan.exe
• Defwatch.exe
• sqlbrowser.exe
• winword.exe
• Winword.exe
• onenotem.exe
• QBW32.exe
• QBDBMgr.exe
• qbupdate.xe
• QBCFMonitorService.exe
• axlbridge.exe
• QBIDPService.exe
• httpd.exe
• fdlauncher.exe
• MsDtsSrvr.exe
• sqlwriter.exe
• fdhost.exe
• ssms.exe

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• wrapper
• DefWatch
• ccEvtMgr
• ccSetMgr
• SavRoam
• sqlservr
• sqlagent
• sqladhlp
• Culserver
• RTVscan
• sqlbrowser
• SQLADHLP
• QBIDPService
• Intuit.QuickBooks.FCS
• QBCFMonitorService
• sqlwriter
• msmdsrv
• MSSQLServerADHelper100
• MSSQLFDLauncher
• MSSQLSERVER
• MSSQLServerOLAPService
• SQLBrowser
• MsDtsServer100
• ReportServer
• SQLWriter
• SQLSERVERAGENT

Andere Details

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• 123
• 1c
• 1cd
• 3dm
• 3ds
• 3fr
• 3g2
• 3gp
• 3pr
• 602
• 7z
• 7zip
• _ms
• aac
• ab4
• abd
• accdb
• accde
• accdr
• accdt
• ace
• ach
• acr
• act
• adb
• adi
• adp
• ads
• aes
• afi
• agdl
• ai
• aiff
• aii
• air
• ais
• ait
• aiv
• al
• alg
• allet
• ams
• aocla
• aoi
• apj
• apk
• arc
• arch00
• arm
• art
• arw
• arz
• asc
• asf
• asm
• asp
• aspx
• asset
• asx
• avhdx
• avi
• awg
• backup
• backupdb
• bank
• bar
• bat
• bay
• bc6
• bc7
• bck
• bco
• bdb
• bgt
• big
• bik
• bin
• bkf
• bkp
• bkup
• blend
• blob
• bmp
• bpn
• bpw
• brd
• bsa
• bsm
• bxl
• bz2
• cad
• cam
• cas
• cbk
• cbu
• cdf
• cdr
• cdr3
• cdr4
• cdr5
• cdr6
• cdrw
• cdx
• ce1
• ce2
• cel
• cer
• cert
• cf
• cfg
• cfr
• cgi
• cgm
• chg
• cib
• ckt
• class
• classpath
• cls
• cmd
• cmt
• cnf
• con
• config
• contact
• cpa
• cpi
• cpp
• cpr
• cr2
• craw
• crt
• crw
• cs
• csa
• csh
• cshtml
• csl
• csr
• css
• csv
• ctl
• cwz
• d3dbsp
• dac
• das
• data
• dazip
• db0
• db3
• db5
• db_journal
• dba
• dbc
• dbf
• dbs
• dbx
• dc2
• dch
• dcr
• dcs
• ddb
• ddd
• ddoc
• ddrw
• dds
• der
• des
• desc
• design
• dft
• dgc
• dif
• dip
• dit
• djvu
• dmp
• dng
• doc
• docb
• docm
• docx
• dot
• dotm
• dotx
• dra
• drf
• drl
• dru
• drw
• dsn
• dsnwrk
• dt
• dtd
• dwg
• dxb
• dxf
• dxg
• ecf
• edb
• edf
• elt
• eml
• emz
• epk
• eps
• erbsql
• erf
• esm
• ewprj
• exf
• fdb
• ff
• ffd
• fff
• fh
• fhd
• fla
• flac
• flf
• flp
• flv
• flvv
• fods
• fodt
• forge
• fos
• fp7
• fpd
• fpk
• fpx
• frm
• fsh
• fxg
• g1
• g2
• g3
• g4
• gbl
• gbo
• gbp
• gbr
• gbs
• gbx
• gdb
• gho
• gif
• gko
• gml
• gp
• gp1
• gp2
• gp3
• gp4
• gpb
• gpg
• gpt
• gray
• grb
• grey
• groups
• gry
• gtl
• gto
• gtp
• gts
• gwk
• gz
• hbk
• hdd
• hkdb
• hkx
• hplg
• hpp
• html
• hvpl
• hwp
• ibank
• ibd
• ibz
• icxs
• idb
• idc
• idx
• iif
• iiq
• incpas
• indd
• info
• ip
• ipc
• ism
• iso
• itdb
• itl
• itm
• iwd
• iwi
• ix
• jar
• java
• jnt
• jpe
• jpeg
• jpg
• jrl
• js
• jsp
• kc2
• kdb
• kdbx
• kdc
• kf
• kicad
• kpdx
• kwm
• laccdb
• lay
• lay6
• layout
• lbf
• lbr
• lc
• lck
• ldb
• ldf
• lg
• lgc
• lia
• lib
• libprj
• license
• licz
• lit
• litemod
• llx
• lmc
• log
• lrf
• ltx
• lua
• lvl
• lyt
• lzh
• lzma
• m2
• m2ts
• m3u
• m4a
• m4p
• m4u
• m4v
• map
• mapimail
• max
• mbx
• mcmeta
• md
• mdb
• mdbackup
• mdc
• mddata
• mdf
• mef
• menu
• mfw
• mid
• mkv
• mlb
• mlx
• mml
• mmw
• mny
• moneywell
• mos
• mov
• mp3
• mp4
• mpeg
• mpg
• mpqge
• mrg
• mrw
• mrwref
• msg
• mst
• mts
• myd
• myi
• mysql
• mysqli
• nbd
• nc
• ncf
• nd
• ndd
• ndf
• nef
• nk2
• nop
• nrw
• ns2
• ns3
• ns4
• nsd
• nsf
• nsg
• nsh
• ntl
• nvram
• nwb
• nx2
• nxl
• nyf
• oab
• obj
• obk
• odb
• odc
• odf
• odg
• odm
• odp
• ods
• odt
• oeb
• ogg
• oil
• olb
• one
• onetoc2
• opj
• opt
• ora
• orf
• ost
• otg
• oth
• otp
• ots
• ott
• p12
• p7b
• p7c
• pab
• pad
• pages
• pak
• paq
• par
• pas
• pat
• pbd
• pc
• pcb
• pcbdoc
• pcd
• pct
• pdb
• pdblib
• pdd
• pdf
• pef
• pem
• pfx
• phj
• phl
• pho
• php
• pif
• pkpass
• pl
• plc
• plus_muhd
• png
• pot
• potm
• potx
• ppam
• ppc
• pps
• ppsm
• ppsx
• ppt
• pptm
• pptx
• prf
• prj
• prjcor
• prjemb
• prjpcb
• pro
• project
• prt
• ps
• ps1
• psafe3
• psc
• psd
• psk
• psm
• pspimage
• pst
• ptx
• pwm
• py
• q99
• qb1
• qba
• qbb
• qbk
• qbm
• qbmb
• qbmd
• qbquery
• qbr
• qbw
• qbx
• qby
• qcow
• qcow2
• qdf
• qed
• qfd
• qfx
• qic
• qif
• qmd
• qry
• quicken
• quicken2015backup
• quicken2016backup
• quicken2017backup
• qw5
• r3d
• raf
• rar
• rat
• raw
• rb
• rdb
• re4
• reu
• rgss3a
• rim
• rm
• rofl
• rou
• rtf
• rul
• rvt
• rw2
• rwl
• rwz
• s3db
• safe
• sal
• sas7bdat
• sav
• save
• say
• sb
• sbn
• sbx
• sch
• schdoc
• schlib
• sd0
• sda
• sdf
• sh
• shp
• shx
• sid
• sidd
• sidn
• sie
• sis
• sl2
• sl3
• sldm
• sldx
• slk
• slm
• sln
• snt
• snx
• spp
• sqb
• sql
• sqlite
• sqlite3
• sqlitedb
• sqr
• sr2
• srf
• srt
• srw
• ssq
• st4
• st5
• st6
• st7
• st8
• stc
• std
• sti
• stm
• stp
• stw
• stx
• sum
• suo
• svg
• swf
• sxc
• sxd
• sxg
• sxi
• sxm
• sxw
• syncdb
• t12
• t13
• tar
• tax
• tbk
• tcf
• tex
• tga
• tgz
• thm
• tib
• tif
• tiff
• tlg
• tmd
• tmp
• tor
• trn
• txt
• ub
• uop
• uot
• upk
• vb
• vbk
• vbm
• vbox
• vbs
• vcd
• vcf
• vdf
• vdi
• vfs0
• vhd
• vhdx
• vib
• vlb
• vmdk
• vmem
• vmsd
• vmx
• vmxf
• vob
• vom
• vpk
• vpp_pc
• vsd
• vsdx
• vtf
• w3x
• wab
• wad
• wallet
• wav
• wb2
• wbk
• wdb
• wk1
• wks
• wma
• wmo
• wmv
• wotreplay
• wpd
• wps
• x11
• x3f
• xf
• xg3
• xgo
• xis
• xla
• xlam
• xlc
• xlk
• xlm
• xlr
• xls
• xlsb
• xlsm
• xlsx
• xlt
• xltm
• xltx
• xlw
• xml
• xps
• xslt
• xxx
• ycbcra
• ydk
• zip
• zpd
• ztmp

Es macht Folgendes:

• This ransomware can perform privilege escalation
• It encrypts in all existing drives of the affected system
• It encrypts files from network share
• It empties out the Recycle Bin