Analys¨¦ par: Rhena Inocencio   
 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
 Information Exposure Rating::
Faible
Medium
?±ô±ð±¹¨¦
Critique

  • Type de grayware:
    Trojan

  • Destructif:
    Non

  • Chiffrement:
    Oui

  • In the wild::
    Oui

  Overview

Voie d'infection: Aus dem Internet heruntergeladen

Um einen ?berblick ¨¹ber das Verhalten dieser Trojan zu erhalten, verwenden Sie das unten gezeigte Bedrohungsdiagramm.

Verwendet den Windows Task-Planer, um einen geplanten Task hinzuzuf¨¹gen, der die eingeschleusten Kopien ausf¨¹hrt.

?ndert Zoneneinstellungen von Internet Explorer.

  D¨¦tails techniques

File size: Varie
File type: EXE
Memory resident: Oui
Date de r¨¦ception des premiers ¨¦chantillons: 03 mars 2016
Charge malveillante: Encrypts files

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und f¨¹hrt sie aus:

  • %Application Data%\{GUID}\{random file from system32 folder}.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' f¨¹r den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Schleust folgende Komponentendateien ein:

  • %Desktop%\# DECRYPT MY FILES #.txt
  • %Desktop%\# DECRYPT MY FILES #.html
  • %Desktop%\# DECRYPT MY FILES #.vbs
  • {folders containing encrypted files}\# DECRYPT MY FILES #.txt
  • {folders containing encrypted files}\# DECRYPT MY FILES #.html
  • {folders containing encrypted files}\# DECRYPT MY FILES #.vbs
  • %Tasks%\{random filename from system32 folder}

(Hinweis: %Desktop% ist der Ordner 'Desktop' f¨¹r den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)

Verwendet den Windows Task-Planer, um einen geplanten Task hinzuzuf¨¹gen, der die eingeschleusten Kopien ausf¨¹hrt.

Autostart-Technik

F¨¹gt folgende Registrierungseintr?ge hinzu, um bei jedem Systemstart automatisch ausgef¨¹hrt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random filename from system32 folder} = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
{random filename from system32 folder} = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Command Processor
AutoRun = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"

(Note:This registry entry runs the malware each time start Command Processor (Cmd.exe) is executed)

HKEY_CURRENT_USER\Control Panel\Desktop
SCRNSAVE.EXE = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
Run = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"

Schleust die folgenden Dateien in den benutzerspezifischen Autostart-Ordner von Windows ein, um sich selbst bei jedem Systemstart auszuf¨¹hren.

  • %User Startup%\{random filename from system32 folder}.lnk

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmen¨¹\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmen¨¹\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmen¨¹\Programme\Autostart.)

Andere System?nderungen

?ndert die folgenden Dateien:

  • It renames encrypted files to {random name}.cerber

?ndert die folgenden Registrierungsschl¨¹ssel/-eintr?ge w?hrend der eigenen Installation:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyServer = "http=127.0.0.1:8888;https=127.0.0.1:8888;"

(Note: The default value data of the said registry entry is {user-defined}.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyEnable = "1"

(Note: The default value data of the said registry entry is {user-defined}.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyOverride = "<-loopback>;"

(Note: The default value data of the said registry entry is {user-defined}.)

?nderung der Startseite von Webbrowser und Suchseite

?ndert Zoneneinstellungen von Internet Explorer.

Andere Details

Verschl¨¹sselt Dateien mit den folgenden Erweiterungen:

  • .contact
  • .dbx
  • .doc
  • .docx
  • .jnt
  • .jpg
  • .mapimail
  • .msg
  • .oab
  • .ods
  • .pdf
  • .pps
  • .ppsm
  • .ppt
  • .pptm
  • .prf
  • .pst
  • .rar
  • .rtf
  • .txt
  • .wab
  • .xls
  • .xlsx
  • .xml
  • .zip
  • .1cd
  • .3ds
  • .3g2
  • .3gp
  • .7z
  • .7zip
  • .accdb
  • .aoi
  • .asf
  • .asp
  • .aspx
  • .asx
  • .avi
  • .bak
  • .cer
  • .cfg
  • .class
  • .config
  • .css
  • .csv
  • .db
  • .dds
  • .dwg
  • .dxf
  • .flf
  • .flv
  • .html
  • .idx
  • .js
  • .key
  • .kwm
  • .laccdb
  • .ldf
  • .lit
  • .m3u
  • .mbx
  • .md
  • .mdf
  • .mid
  • .mlb
  • .mov
  • .mp3
  • .mp4
  • .mpg
  • .obj
  • .odt
  • .pages
  • .php
  • .psd
  • .pwm
  • .rm
  • .safe
  • .sav
  • .save
  • .sql
  • .srt
  • .swf
  • .thm
  • .vob
  • .wav
  • .wma
  • .wmv
  • .xlsb
  • .3dm
  • .aac
  • .ai
  • .arw
  • .c
  • .cdr
  • .cls
  • .cpi
  • .cpp
  • .cs
  • .db3
  • .docm
  • .dot
  • .dotm
  • .dotx
  • .drw
  • .dxb
  • .eps
  • .fla
  • .flac
  • .fxg
  • .java
  • .m
  • .m4v
  • .max
  • .mdb
  • .pcd
  • .pct
  • .pl
  • .potm
  • .potx
  • .ppam
  • .ppsm
  • .ppsx
  • .pptm
  • .ps
  • .pspimage
  • .r3d
  • .rw2
  • .sldm
  • .sldx
  • .svg
  • .tga
  • .wps
  • .xla
  • .xlam
  • .xlm
  • .xlr
  • .xlsm
  • .xlt
  • .xltm
  • .xltx
  • .xlw
  • .act
  • .adp
  • .al
  • .bkp
  • .blend
  • .cdf
  • .cdx
  • .cgm
  • .cr2
  • .crt
  • .dac
  • .dbf
  • .dcr
  • .ddd
  • .design
  • .dtd
  • .fdb
  • .fff
  • .fpx
  • .h
  • .iif
  • .indd
  • .jpeg
  • .mos
  • .nd
  • .nsd
  • .nsf
  • .nsg
  • .nsh
  • .odc
  • .odp
  • .oil
  • .pas
  • .pat
  • .pef
  • .pfx
  • .ptx
  • .qbb
  • .qbm
  • .sas7bdat
  • .say
  • .st4
  • .st6
  • .stc
  • .sxc
  • .sxw
  • .tlg
  • .wad
  • .xlk
  • .aiff
  • .bin
  • .bmp
  • .cmt
  • .dat
  • .dit
  • .edb
  • .flvv
  • .gif
  • .groups
  • .hdd
  • .hpp
  • .log
  • .m2ts
  • .m4p
  • .mkv
  • .mpeg
  • .ndf
  • .nvram
  • .ogg
  • .ost
  • .pab
  • .pdb
  • .pif
  • .png
  • .qed
  • .qcow
  • .qcow2
  • .rvt
  • .st7
  • .stm
  • .vbox
  • .vdi
  • .vhd
  • .vhdx
  • .vmdk
  • .vmsd
  • .vmx
  • .vmxf
  • .3fr
  • .3pr
  • .ab4
  • .accde
  • .accdr
  • .accdt
  • .ach
  • .acr
  • .adb
  • .ads
  • .agdl
  • .ait
  • .apj
  • .asm
  • .awg
  • .back
  • .backup
  • .backupdb
  • .bank
  • .bay
  • .bdb
  • .bgt
  • .bik
  • .bpw
  • .cdr3
  • .cdr4
  • .cdr5
  • .cdr6
  • .cdrw
  • .ce1
  • .ce2
  • .cib
  • .craw
  • .crw
  • .csh
  • .csl
  • .db_journal
  • .dc2
  • .dcs
  • .ddoc
  • .ddrw
  • .der
  • .des
  • .dgc
  • .djvu
  • .dng
  • .drf
  • .dxg
  • .eml
  • .erbsql
  • .erf
  • .exf
  • .ffd
  • .fh
  • .fhd
  • .gray
  • .grey
  • .gry
  • .hbk
  • .ibank
  • .ibd
  • .ibz
  • .iiq
  • .incpas
  • .jpe
  • .kc2
  • .kdbx
  • .kdc
  • .kpdx
  • .lua
  • .mdc
  • .mef
  • .mfw
  • .mmw
  • .mny
  • .moneywell
  • .mrw
  • .myd
  • .ndd
  • .nef
  • .nk2
  • .nop
  • .nrw
  • .ns2
  • .ns3
  • .ns4
  • .nwb
  • .nx2
  • .nxl
  • .nyf
  • .odb
  • .odf
  • .odg
  • .odm
  • .orf
  • .otg
  • .oth
  • .otp
  • .ots
  • .ott
  • .p12
  • .p7b
  • .p7c
  • .pdd
  • .pem
  • .plus_muhd
  • .plc
  • .pot
  • .pptx
  • .psafe3
  • .py
  • .qba
  • .qbr
  • .qbw
  • .qbx
  • .qby
  • .raf
  • .rat
  • .raw
  • .rdb
  • .rwl
  • .rwz
  • .s3db
  • .sd0
  • .sda
  • .sdf
  • .sqlite
  • .sqlite3
  • .sqlitedb
  • .sr2
  • .srf
  • .srw
  • .st5
  • .st8
  • .std
  • .sti
  • .stw
  • .stx
  • .sxd
  • .sxg
  • .sxi
  • .sxm
  • .tex
  • .wallet
  • .wb2
  • .wpd
  • .x11
  • .x3f
  • .xis
  • .ycbcra
  • .yuv

  Solutions

Moteur de scan minimum: 9.800
First VSAPI Pattern File: 12.378.08
First VSAPI Pattern Release Date: 03 mars 2016
VSAPI OPR Pattern Version: 12.379.00
VSAPI OPR Pattern Release Date: 04 mars 2016

Step 1

F¨¹r Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 3

Durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt. Achten Sie auf Dateien, die als RANSOM_CERBER.A entdeckt werden

Step 4

Im abgesicherten Modus neu starten

[ learnMore ]

Step 5

Diesen Registrierungswert l?schen

[ learnMore ]

Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f¨¹hren. F¨¹hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst¨¹tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • {random filename from system32 folder} = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
    • {random filename from system32 folder} = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
  • In HKEY_CURRENT_USER\Software\Microsoft\Command Processor
    • AutoRun = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
  • In HKEY_CURRENT_USER\Control Panel\Desktop
    • SCRNSAVE.EXE = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    • Run = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"

Step 7

Deleting Scheduled Tasks

  1. ?ffnen Sie Windows 'Geplante Task'. Klicken Sie auf 'Start>Programme>Zubeh?r>Systemprogramme>Geplante Tasks'.
  2. Suchen Sie jeden Task, der den folgenden Wert in der Spalte 'Zeitplan' aufweist:
    !!!REPLACE THIS!!!
  3. Klicken Sie mit der rechten Maustaste auf die besagte(n) Datei(en) mit dem zuvor erw?hnten Wert.
  4. Klicken Sie auf 'Eigenschaften'. Suchen Sie im Feld 'Ausf¨¹hren' nach der folgenden Zeichenfolge:
    Cmd /c /rd /s /q C:
  5. Wenn die besagte Zeichenfolge gefunden wird, l?schen Sie den Task.

Step 8

Diese Dateien suchen und l?schen

[ learnMore ]
M?glicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollk?stchen Versteckte Elemente durchsuchen unter "Weitere erweiterte Optionen", um alle verborgenen Dateien und Ordner in den Suchergebnissen zu ber¨¹cksichtigen.
  • %Desktop%\# DECRYPT MY FILES #.txt
  • %Desktop%\# DECRYPT MY FILES #.html
  • %Desktop%\# DECRYPT MY FILES #.vbs
  • {folders containing encrypted files}\# DECRYPT MY FILES #.txt
  • {folders containing encrypted files}\# DECRYPT MY FILES #.html
  • {folders containing encrypted files}\# DECRYPT MY FILES #.vbs
  • %User Startup%\{random filename from system32 folder}.lnk
DATA_GENERIC_FILENAME_1
  • W?hlen Sie im Listenfeld lt;i>Suchen in die Option Arbeitsplatz, und dr¨¹cken Sie die Eingabetaste.
  • Markieren Sie die gefundene Datei, und dr¨¹cken Sie UMSCHALT+ENTF, um sie endg¨¹ltig zu l?schen.
  • Wiederholen Sie die Schritte 2 bis 4 f¨¹r die ¨¹brigen Dateien:
      • %Desktop%\# DECRYPT MY FILES #.txt
      • %Desktop%\# DECRYPT MY FILES #.html
      • %Desktop%\# DECRYPT MY FILES #.vbs
      • {folders containing encrypted files}\# DECRYPT MY FILES #.txt
      • {folders containing encrypted files}\# DECRYPT MY FILES #.html
      • {folders containing encrypted files}\# DECRYPT MY FILES #.vbs
      • %User Startup%\{random filename from system32 folder}.lnk

    • Step 9

    F¨¹hren Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt nach Dateien, die als RANSOM_CERBER.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.


    Participez ¨¤ notre enqu¨ºte!