Ransom.Win64.CRYPTWOFOUR.THGOBBE

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Dateien ein:

• %User Temp%\rmsw.bat
• %User Temp%\msin.bat

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

• cmd.exe /c vssadmin delete shadows /all /quiet

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• Global\A0:236:Main

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSRuntime
D_th{File Count} = 2_{Path To Found File Name}

Andere Details

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSRuntime

Es macht Folgendes:

• Based on code analysis, it may encrypt the following files\files found in the following paths:
  • \anydesk\
  • \AppData\Local\
  • \AppData\LocalLow\
  • \AppData\Roaming\
  • \Chrome Remote Desktop\
  • \ntuser.dat
  • \ntuser.ini
  • \Program Files\CloudBerryLab\CloudBerry Backup
  • \Public\Documents\iconcache.ini
  • \Public\Documents\iconcache.log
  • \Public\Pictures\log
  • %Program Files%
  • %Program Files% (x86)
  • %Program Files% (x86)\COMODO
  • %Program Files% (x86)\Dropbox
  • %Program Files% (x86)\Google
  • %Program Files% (x86)\Trend Micro
  • %Program Files% (x86)\Windows Defender
  • %Program Files%(x86)\Kaspersky Lab
  • %Program Files%(x86)\Microsoft
  • %Program Files%(x86)\Sophos
  • %Program Files%(x86)\Symantec
  • %Program Files%\AhnLab
  • %Program Files%\CloudBerryLab\CloudBerry Backup
  • %Program Files%\COMODO
  • %Program Files%\Dropbox
  • %Program Files%\ESTsoft
  • %Program Files%\Google
  • %Program Files%\Kaspersky Lab
  • %Program Files%\Microsoft
  • %Program Files%\Sophos
  • %Program Files%\Symantec
  • %Program Files%\Trend Micro
  • %Program Files%\VMware
  • %Program Files%\Windows Defender
  • %Program Files%\Windows Defender Advanced Threat Protection
  • %Program Files%\WindowsApps
  • %ProgramData%
  • %ProgramData%\AhnLab
  • %ProgramData%\Comodo
  • %ProgramData%\Comodo Downloader
  • %ProgramData%\Dropbox
  • %ProgramData%\ESTsoft
  • %ProgramData%\Kaspersky Lab
  • %ProgramData%\Microsoft OneDrive
  • %ProgramData%\Sophos
  • %ProgramData%\ssh
  • %ProgramData%\Symantec
  • %ProgramData%\Trend Micro
  • %ProgramData%\VMware
  • %ProgramData%\Windows
  • %System Root%\Users
  • %System Root%\Users\.N
  • %System Root%\users\All Users
  • %Windows%

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)