Ransom.Win64.CONTI.AA

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Dateien ein:

• %System Root%\CONTI_LOG.txt → If -log enabled is used

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Fügt die folgenden Prozesse hinzu:

• cmd.exe /c %System%\wbem\WMIC\wbem\WMIC.exe shadowcopy where \"ID=’{Shadowcopy ID}’\"delete ← Deletes shadow copies

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• hsfjuukloqu280ajh727190

Andere Details

Es macht Folgendes:

• It encrypts database storage files by looking for the following strings in their file path:
  • .4dd
  • .4dl
  • .abcddb
  • .abs
  • .abx
  • .accdb
  • .accdc
  • .accde
  • .accdr
  • .accdt
  • .accdw
  • .accft
  • .adb
  • .ade
  • .adf
  • .adn
  • .adp
  • .alf
  • .arc
  • .ask
  • .bdf
  • .btr
  • .cat
  • .cdb
  • .ckp
  • .cma
  • .cpd
  • .dacpac
  • .dad
  • .dadiagrams
  • .daschema
  • .db
  • .db2
  • .db3
  • .dbc
  • .dbf
  • .dbs
  • .db-shm
  • .dbt
  • .dbv
  • .db-wal
  • .dbx
  • .dcb
  • .dct
  • .dcx
  • .ddl
  • .dlis
  • .dp1
  • .dqy
  • .dsk
  • .dsn
  • .dtsx
  • .dxl
  • .eco
  • .ecx
  • .edb
  • .epim
  • .exb
  • .fcd
  • .fdb
  • .fic
  • .fm5
  • .fmp
  • .fmp12
  • .fmpsl
  • .fol
  • .fp3
  • .fp4
  • .fp5
  • .fp7
  • .fpt
  • .frm
  • .gdb
  • .grdb
  • .gwi
  • .hdb
  • .his
  • .hjt
  • .ib
  • .icg
  • .icr
  • .idb
  • .ihx
  • .itdb
  • .itw
  • .jet
  • .jtx
  • .kdb
  • .kdb
  • .kexi
  • .kexic
  • .kexis
  • .lgc
  • .lut
  • .lwx
  • .maf
  • .maq
  • .mar
  • .mas
  • .mav
  • .maw
  • .mdb
  • .mdf
  • .mdn
  • .mdt
  • .mpd
  • .mrg
  • .mud
  • .mwb
  • .myd
  • .ndf
  • .nnt
  • .nrmlib
  • .ns2
  • .ns3
  • .ns4
  • .nsf
  • .nv
  • .nv2
  • .nwdb
  • .nyf
  • .odb
  • .oqy
  • .ora
  • .orx
  • .owc
  • .p96
  • .p97
  • .pan
  • .pdb
  • .pdm
  • .pnz
  • .qry
  • .qvd
  • .rbf
  • .rctd
  • .rod
  • .rodx
  • .rpd
  • .rsd
  • .sas7bdat
  • .sbf
  • .scx
  • .sdb
  • .sdc
  • .sdf
  • .sis
  • .spg
  • .sql
  • .sqlite
  • .sqlite3
  • .sqlitedb
  • .te
  • .temx
  • .tmd
  • .tps
  • .trc
  • .trm
  • .udb
  • .udl
  • .usr
  • .v12
  • .vis
  • .vpd
  • .vvv
  • .wdb
  • .wdmb
  • .wrk
  • .xdb
  • .xld
  • .xmlff
• Encrypts network drive
• It encrypts disk image files by looking for the following file extensions in their file path:
  • .avdx
  • .avhd
  • .bin
  • .iso
  • .nvram
  • .pvm
  • .qcow2
  • .raw
  • .subvol
  • .vdi
  • .vhd
  • .vhdx
  • .vmcx
  • .vmdk
  • .vmem
  • .vmrs
  • .vmsd
  • .vmsn
  • .vmx
  • .vsv
• When encrypting network shares it will check if the IP address starts with the following to ensure that it is encrypting local and non-internet systems:
  • 172.
  • 192.168.
  • 10.
  • 169.