Ransom.MSIL.HAKBIT.A
Trojan:Win32/Dynamer!rfn (MICROSOFT); HEUR:Trojan.MSIL.DelShad.gen (KASPERSKY)
Windows
Type de grayware:
Ransomware
Destructif:
Non
Chiffrement:
Non
In the wild::
Oui
Overview
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
L?scht Dateien, so dass Programme und Anwendungen nicht ordnungsgem?? ausgef¨¹hrt werden.
L?dt eine Datei von einer bestimmten Adresse (URL) herunter und benennt sie vor dem Speichern im betroffenen System um. Anschlie?end werden die heruntergeladenen Dateien ausgef¨¹hrt. Dadurch k?nnen die b?sartigen Routinen der heruntergeladenen Dateien auf dem betroffenen System aktiv werden.
L?scht sich nach der Ausf¨¹hrung selbst.
D¨¦tails techniques
?bertragungsdetails
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Installation
F¨¹gt die folgenden Prozesse hinzu:
- %User Startup%\{renamed malware}.exe
- %System%\cmd.exe /C choice /C Y /N /D Y /T 3 & Del {malware filename}
- %System%\vssadmin.exe delete shadows /all /quiet
- %System%\notepad.exe %Desktop%\HELP_ME_RECOVER_MY_FILES.txt
- %User Temp%\{random}.exe m=psexec -i={host ip address} -d={target ip address} -f=%User Startup%\{randomly picked name}.exe -e=%User Temp%\{random}.exe
(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmen¨¹\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmen¨¹\Programme\Autostart unter Windows NT, C:\Documents and Settings\{Benutzername}\Startmen¨¹\Programme\Autostart unter Windows 2003(32-bit), XP und 2000(32-bit) und C:\Users\{Benutzername}\AppData\Roaming\Microsoft\Windows\Startmen¨¹\Programme\Autostart unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).. %Desktop% ist der Ordner 'Desktop' f¨¹r den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\Desktop unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)
Autostart-Technik
Schleust die folgenden Dateien in den benutzerspezifischen Autostart-Ordner von Windows ein, um sich selbst bei jedem Systemstart auszuf¨¹hren.
- {malware name}.exe renamed with any of the following names:
- lsass.exe
- svchst.exe
- crcss.exe
- chrome32.exe
- firefox.exe
- calc.exe
- mysqld.exe
- dllhst.exe
- opera32.exe
- memop.exe
- spoolcv.exe
- ctfmom.exe
- SkypeApp.exe
Andere System?nderungen
L?scht die folgenden Dateien:
- %User Temp%\{random}.exe
(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)
Download-Routine
?ffnet die folgenden Websites, um Dateien herunterzuladen:
- https://hakbit.{BLOCKED}hostapp.com/013.jpg ¡ú %User Temp%\wallpaper.bmp
However, as of this writing, the said site is inaccessible
L?dt Dateien von einer bestimmten Adresse (URL) herunter und benennt sie vor dem Speichern im betroffenen System um.
- https://raw.{BLOCKED}sercontent.com/anthemtotheego/SharpExec/master/CompiledBinaries/SharpExec_{XX}.exe ¡ú %User Temp%\{random}.exe
where {XX} can be 32 or 64 depending on the OS architecture.
Anschlie?end werden die heruntergeladenen Dateien ausgef¨¹hrt. Dadurch k?nnen die b?sartigen Routinen der heruntergeladenen Dateien auf dem betroffenen System aktiv werden.
Andere Details
L?scht sich nach der Ausf¨¹hrung selbst.
Solutions
Step 2
F¨¹r Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 3
<p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p><p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p>
Step 4
Diese Dateien suchen und l?schen
- {Encrypted Folder}\HELP_ME_RECOVER_MY_FILES.txt
- %Desktop%\HELP_ME_RECOVER_MY_FILES.txt
- {Encrypted Folder}\HELP_ME_RECOVER_MY_FILES.txt
- %Desktop%\HELP_ME_RECOVER_MY_FILES.txt
Step 5
Durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt, und l?schen Sie Dateien, die als Ransom.MSIL.HAKBIT.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.
Step 6
Restore encrypted files from backup.
Participez ¨¤ notre enqu¨ºte!