Ransom.Win64.MEDUSALOCKER.THIBGBD
Gen:Variant.Ransom.MedusaLocker.65 (BITDEFENDER)
Windows
Type de grayware:
Ransomware
Destructif:
Non
Chiffrement:
Non
In the wild::
Oui
Overview
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
D¨¦tails techniques
?bertragungsdetails
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Installation
F¨¹gt die folgenden Prozesse hinzu:
- By using the command line "\?\%Windows%\SysWOW64\cmd.exe /c %Windows%\sysnative\cmd.exe /c {Commands Below}:
- rem Kill \"SQL\"
- vssadmin.exe Delete Shadows /All /Quiet
- wbadmin delete backup -keepVersion:0 -quiet
- wbadminDELETE SYSTEMSTATEBACKUP
- wbadmin DELETE SYSTEMSTABACKUP -deleteOldest
- wmic.exe SHADOWCOPY /nointeractive
- bcdedit.exe /set {default} recoverynabled No
- bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
- net stop {Target Services}
- taskkill -f -im {Target Processes}
- cipher /w:\?\{Drive Letter}
- %System%\cmd.exe /c pause
(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)
Autostart-Technik
F¨¹gt folgende Registrierungseintr?ge hinzu, um bei jedem Systemstart automatisch ausgef¨¹hrt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
BabyLockerKZ = {Malware Path}\{Malware File Name}.exe
Andere System?nderungen
F¨¹gt die folgenden Registrierungseintr?ge hinzu:
HKEY_CURRENT_USER\Software\PAIDMEMES
PUBLIC = {Ransomware Public Key}
HKEY_CURRENT_USER\Software\PAIDMEMES
PRIVATE = {Ransomware Private Key}
Prozessbeendigung
Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:
- Via net stop:
- MSSQLServerADHelper100
- MSSQL$ISARS
- MSSQL$MSFW
- SQLAgent$ISARS
- SQLAgent$MSFW
- SQLBrowser
- REportServer$ISARS
- SQLWriter
Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgef¨¹hrt werden:
- Via taskkill -f -im:
- sqlbrowser.exe
- sql writer.exe
- sqlserv.exe
- msmdsrv.exe
- MsDtsSrvr.exe
- sqlceip.exe
- fdlauncher.exe
- Ssms.exe
- SQLAGENT.EXE
- fdhost.exe
- ReportingServicesService.exe
- msftesql.exe
- pg_ctl.exe
- postgres.exe
Andere Details
F¨¹gt die folgenden Registrierungsschl¨¹ssel hinzu:
HKEY_CURRENT_USER\Software
PAIDMEMES
Es macht Folgendes:
- It encrypts the following drives if found existing on the system:
- Removable Drive
- Fixed Drive
- Remote Drive
- RAM Disk Drive
- It attempts to mount unmounted drives before doing encryption.
- It encrypts data in chunks of 750,016 bytes.
- It skips encryption of 250,048 bytes of data after every chunks.
- It encrypts a maximum of 9,633,920 bytes of data for each files.
- It empties the Recycle Bin.
- It displays logs using the command line application:
Solutions
Step 2
F¨¹r Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 3
<p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p><p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p>
Step 4
Im abgesicherten Modus neu starten
Step 5
Diesen Registrierungswert l?schen
Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f¨¹hren. F¨¹hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst¨¹tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- BabyLockerKZ = {Malware Path}\{Malware File Name}.exe
- BabyLockerKZ = {Malware Path}\{Malware File Name}.exe
- In HKEY_CURRENT_USER\Software\PAIDMEMES
- PUBLIC = {Ransomware Public Key}
- PUBLIC = {Ransomware Public Key}
- In HKEY_CURRENT_USER\Software\PAIDMEMES
- PRIVATE = {Ransomware Private Key}
- PRIVATE = {Ransomware Private Key}
Step 6
Diesen Registrierungsschl¨¹ssel l?schen
Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f¨¹hren. F¨¹hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst¨¹tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.
- In HKEY_CURRENT_USER\Software\
- PAIDMEMES
- PAIDMEMES
Step 7
Diese Dateien suchen und l?schen
- {Drive Letter}\How_to_back_files.html
- %Desktop%\How_to_back_files.html
- {Drive Letter}\How_to_back_files.html
- %Desktop%\How_to_back_files.html
Step 8
F¨¹hren Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt nach Dateien, die als Ransom.Win64.MEDUSALOCKER.THIBGBD entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.
Step 9
Restore encrypted files from backup.
Participez ¨¤ notre enqu¨ºte!