Ransom.Win64.HIVE.A

Canal de infección Descargado de Internet, Eliminado por otro tipo de malware

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Tamaño del archivo 978,944 bytes

Tipo de archivo EXE

Residente en memoria No

Carga útil Encrypts files

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Infiltra los archivos siguientes:

{Encrypted drive}\{Random string}.key.kb2j4

Agrega los procesos siguientes:

vssadmin.exe delete shadows /all /quiet
wmic.exe SHADOWCOPY /nointeractive
bcdedit.exe /set {default} recoveryenabled no
wevtutil.exe cl system
wevtutil.exe cl security
wevtutil.exe cl application

Finalización del proceso

Finaliza los servicios siguientes si los detecta en el sistema afectado:

acronis
AcrSch2Svc
Antivirus
ARSM
AVP
backup
bedbg
CAARCUpdateSvc
CASAD2DWebSvc
ccEvtMgr
ccSetMgr
Culserver
dbeng8
dbsrv12
DCAgent
DefWatch
EhttpSrv
ekrn
Enterprise Client Servic
EPSecurityService
EPUpdateService
EraserSvc11710
EsgShKernel
ESHASRV
FA_Scheduler
firebird
IISAdmin
IMAP4Svc
Intuit
KAVFS
KAVFSGT
kavfsslp
klnagent
macmnsvc
masvc
MBAMService
MBEndpointAgent
McAfee
McShield
McTaskManager
memtas
mepocs
mfefire
mfemms
mfevtp
MMS
MsDtsServer
MsDtsServer100
MsDtsServer110
msexchange
msmdsrv
MSOLAP
MVArmor
MVarmor64
NetMsmqActivator
ntrtscan
oracle
PDVFSService
POP3Svc
postgres
QBCFMonitorService
QBFCService
QBIDPService
redis
report
RESvc
RTVscan
sacsvr
SamSs
SAVAdminService
SavRoam
SAVService
SDRSVC
SepMasterService
ShMonitor
Smcinst
SmcService
SMTPSvc
SNAC
SntpService
sophos
sql
SstpSvc
stc_raw_agent
^svc
swi_
Symantec
TmCCSF
tmlisten
tomcat
TrueKey
UI0Detect
veeam
vmware
vss
W3Svc
wbengine
WebClient
wrapper
WRSVC
WSBExchange
YooIT
zhudongfangyu
Zoolz

Otros detalles

Hace lo siguiente:

It adds the following processes to disable AV configuration in the machine:
- net.exe stop "NetMsmqActivator" /y
- net.exe stop "SamSs" /y
- net.exe stop "VSS" /y
- net.exe stop "SDRSVC" /y
- net.exe stop "SstpSvc" /y
- net.exe stop "UI0Detect" /y
- net.exe stop "wbengine" /y
- net.exe stop "WebClient" /y
- sc.exe config "NetMsmqActivator" start= disabled
- sc.exe config "SamSs" start= disabled
- sc.exe config "SDRSVC" start= disabled
- sc.exe config "SstpSvc" start= disabled
- sc.exe config "UI0Detect" start= disabled
- sc.exe config "VSS" start= disabled
- sc.exe config "wbengine" start= disabled
- sc.exe config "WebClient" start= disabled
- reg.exe delete "HKLM\Software\Policies\Microsoft\Windows Defender" /f
- reg.exe delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run" /v "Windows Defender" /f
- reg.exe delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "Windows Defender" /f
- reg.exe delete "HKCR\*\shellex\ContextMenuHandlers\EPP" /f
- reg.exe delete "HKCR\Directory\shellex\ContextMenuHandlers\EPP" /f
- reg.exe delete "HKCR\Drive\shellex\ContextMenuHandlers\EPP" /f
- reg.exe add "HKLM\System\CurrentControlSet\Services\SecurityHealthService" /v "Start" /t REG_DWORD /d "4" /f
- reg.exe add "HKLM\System\CurrentControlSet\Services\WdBoot" /v "Start" /t REG_DWORD /d "4" /f
- reg.exe add "HKLM\System\CurrentControlSet\Services\WdFilter" /v "Start" /t REG_DWORD /d "4" /f
- reg.exe add "HKLM\System\CurrentControlSet\Services\WdNisDrv" /v "Start" /t REG_DWORD /d "4" /f
- reg.exe add "HKLM\System\CurrentControlSet\Services\WdNisSvc" /v "Start" /t REG_DWORD /d "4" /f
- reg.exe add "HKLM\System\CurrentControlSet\Services\WinDefend" /v "Start" /t REG_DWORD /d "4" /f
- reg.exe add "HKLM\System\CurrentControlSet\Services\SecurityHealthService" /v "Start" /t REG_DWORD /d "4" /f
- reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /t REG_DWORD /d "1" /f
- reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender" /v "DisableAntiVirus" /t REG_DWORD /d "1" /f
- reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\MpEngine" /v "MpEnablePus" /t REG_DWORD /d "0" /f
- reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableBehaviorMonitoring" /t REG_DWORD /d "1" /f
- reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableIOAVProtection" /t REG_DWORD /d "1" /f
- reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableOnAccessProtection" /t REG_DWORD /d "1" /f
- reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableRealtimeMonitoring" /t REG_DWORD /d "1" /f
- reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableScanOnRealtimeEnable" /t REG_DWORD /d "1" /f
- reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\Reporting" /v "DisableEnhancedNotifications" /t REG_DWORD /d "1" /f
- reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "DisableBlockAtFirstSeen" /t REG_DWORD /d "1" /f
- reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "SpynetReporting" /t REG_DWORD /d "0" /f
- reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "SubmitSamplesConsent" /t REG_DWORD /d "0" /f
- reg.exe add "HKLM\System\CurrentControlSet\Control\WMI\Autologger\DefenderApiLogger" /v "Start" /t REG_DWORD /d "0" /f
- reg.exe add "HKLM\System\CurrentControlSet\Control\WMI\Autologger\DefenderAuditLogger" /v "Start" /t REG_DWORD /d "0" /f
- schtasks.exe /Change /TN "Microsoft\Windows\ExploitGuard\ExploitGuard MDM policy Refresh" /Disable
- schtasks.exe /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance" /Disable
- schtasks.exe /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Cleanup" /Disable
- schtasks.exe /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan" /Disable
- schtasks.exe /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Verification" /Disable
- cmd.exe /c "C:\Program Files\Windows Defender\MpCmdRun.exe" -RemoveDefinitions -All
- cmd.exe /c powershell Set-MpPreference -DisableIOAVProtection $true

Motor de exploración mínimo 9.800

Primer archivo de patrones de VSAPI 16.924.04

Primera fecha de publicación de patrones de VSAPI 24 de agosto de 2021

Versión de patrones OPR de VSAPI 16.925.00

Fecha de publicación de patrones OPR de VSAPI 25 de agosto de 2021

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 2

Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.

Step 3

Reiniciar en modo seguro

[ aprenda más ]

Step 4

Buscar y eliminar este archivo

[ aprenda más ]

Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos.

{Encrypted directory}\{Random string}_HOW_TO_DECRYPT.txt

Step 5

Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como Ransom.Win64.HIVE.A En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.

Step 6

Restore encrypted files from backup.

Rellene nuestra encuesta!

Resumen y descripción

Detalles técnicos

Soluciones

Recursos

Soporte

Acerca de Trend

Sede en el país