Ransom.Win32.LOCKBIT.YXEDKZ

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Infiltra los archivos siguientes:

• {Log File Path}\{Log Filename} → If -log is used

Agrega los procesos siguientes:

• cmd.exe %System%\wbem\WMIC.exe shadowcopy where "ID={Shadow Copy ID}" delete → It will repeat this process depending on the number of shadow copies.

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) y 10(64-bit) en C:\Windows\System32).

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• hsfjuukjzloqu28oajh727190

Otros detalles

Hace lo siguiente:

• By default, it encrypts local drives, removable drives, and network shares.
• When encrypting network shares it will check if the IP address starts with the following to ensure that it is encrypting local, non-internet, systems:
  • 172.
  • 192.168.
  • 10.
  • 169.
• It encrypts database storage files by looking for the following strings in their file path:
  • .4dd
  • .4dl
  • .accdb
  • .accdc
  • .accde
  • .accdr
  • .accdt
  • .accft
  • .adb
  • .ade
  • .adf
  • .adp
  • .arc
  • .ora
  • .alf
  • .ask
  • .btr
  • .bdf
  • .cat
  • .cdb
  • .ckp
  • .cma
  • .cpd
  • .dacpac
  • .dad
  • .dadiagrams
  • .daschema
  • .db
  • .db-shm
  • .db-wal
  • .db3
  • .dbc
  • .dbf
  • .dbs
  • .dbt
  • .dbv
  • .dbx
  • .dcb
  • .dct
  • .dcx
  • .ddl
  • .dlis
  • .dp1
  • .dqy
  • .dsk
  • .dsn
  • .dtsx
  • .dxl
  • .eco
  • .ecx
  • .edb
  • .epim
  • .exb
  • .fcd
  • .fdb
  • .fic
  • .fmp
  • .fmp12
  • .fmpsl
  • .fol
  • .fp3
  • .fp4
  • .fp5
  • .fp7
  • .fpt
  • .frm
  • .gdb
  • .grdb
  • .gwi
  • .hdb
  • .his
  • .ib
  • .idb
  • .ihx
  • .itdb
  • .itw
  • .jet
  • .jtx
  • .kdb
  • .kexi
  • .kexic
  • .kexis
  • .lgc
  • .lwx
  • .maf
  • .maq
  • .mar
  • .mas
  • .mav
  • .mdb
  • .mdf
  • .mpd
  • .mrg
  • .mud
  • .mwb
  • .myd
  • .ndf
  • .nnt
  • .nrmlib
  • .ns2
  • .ns3
  • .ns4
  • .nsf
  • .nv
  • .nv2
  • .nwdb
  • .nyf
  • .odb
  • .oqy
  • .orx
  • .owc
  • .p96
  • .p97
  • .pan
  • .pdb
  • .pdm
  • .pnz
  • .qry
  • .qvd
  • .rbf
  • .rctd
  • .rod
  • .rodx
  • .rpd
  • .rsd
  • .sas7bdat
  • .sbf
  • .scx
  • .sdb
  • .sdc
  • .sdf
  • .sis
  • .spq
  • .sql
  • .sqlite
  • .sqlite3
  • .sqlitedb
  • .te
  • .temx
  • .tmd
  • .tps
  • .trc
  • .trm
  • .udb
  • .udl
  • .usr
  • .v12
  • .vis
  • .vpd
  • .vvv
  • .wdb
  • .wmdb
  • .wrk
  • .xdb
  • .xld
  • .xmlff
  • .abcddb
  • .abs
  • .abx
  • .accdw
  • .adn
  • .db2
  • .fm5
  • .hjt
  • .icg
  • .icr
  • .kdb
  • .lut
  • .maw
  • .mdn
  • .mdt
• It encrypts disk image files by looking for the following file extensions in their file path:
  • .vdi
  • .vhd
  • .vmdk
  • .pvm
  • .vmem
  • .vmsn
  • .vmsd
  • .nvram
  • .vmx
  • .raw
  • .qcow2
  • .subvol
  • .bin
  • .vsv
  • .avhd
  • .vmrs
  • .vhdx
  • .avdx
  • .vmcx
  • .iso
• It uses the Windows Restart Manager to unlock files it will encrypt.