Analysé par: Rheniel Rhay Ramos   
 

Ransom.Tox (Symantec); Trojan.Win32.KillMBR.gfd (Kaspersky); Ransom:Win32/Genasom (Microsoft)

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
 Information Exposure Rating::
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Ransomware

  • Destructif:
    Non

  • Chiffrement:
    Oui

  • In the wild::
    Oui

  Overview

Startet das betroffene System neu.

  Détails techniques

File size: 1,246,725 bytes
File type: EXE
Memory resident: Non
Date de réception des premiers échantillons: 23 septembre 2017
Charge malveillante: Terminates processes, Restarts system, Displays graphics/image, Encrypts files

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %User Profile%\{random numbers}\main.exe

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein:

  • %User Profile%\{random numbers}\boot.asm -> will be compiled into boot.bin
  • %User Profile%\{random numbers}\boot.bin -> new master boot record

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein und führt sie aus:

  • %User Profile%\{random numbers}\assembler.exe -> used to compile boot.asm into boot.bin
  • %User Profile%\{random numbers}\overwrite.exe -> used to overwrite the existing master boot record with boot.bin
  • %User Profile%\{random numbers}\protect.exe -> used to terminate process related applications

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

  • %User Profile%\{random numbers}\assembler.exe -f bin %User Profile%\{random numbers}\boot.asm -o %User Profile%\{random numbers}\boot.bin
  • %User Profile%\{random numbers}\overwrite.exe %User Profile%\{random numbers}\boot.bin
  • %User Profile%\{random numbers}\protect.exe

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner:

  • %User Profile%\{random numbers}

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Prozessbeendigung

Beendet die folgenden Prozesse, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

  • taskmgr.exe

Andere Details

Startet das betroffene System neu.

  Solutions

Moteur de scan minimum: 9.850
First VSAPI Pattern File: 13.680.05
First VSAPI Pattern Release Date: 23 septembre 2017
VSAPI OPR Pattern Version: 13.681.00
VSAPI OPR Pattern Release Date: 24 septembre 2017

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.


Participez à notre enquête!