Ransom.Win64.SNATCH.YADBA.enc
UDS:Trojan-Ransom.Win32.Snatch.v (KASPERSKY)
Windows
Malware-Typ:
Ransomware
Zerstrerisch?:
Nein
Verschlsselt?:
Ja
In the wild::
Ja
Überblick
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Technische Details
Übertragungsdetails
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Installation
Schleust die folgenden Dateien ein:
- {Malware file path}\{random characters1}.bat → used to query for services, is deleted afterwards
- {Malware file path}\{random characters2}.bat → used to delete shadow copies, is deleted afterwards
- {Malware file path}\{random characters3}.bat → used to register itself as a service, is deleted afterwards
- {Malware file path}\{random characters4}.bat → used to enable safe mode, is deleted afterwards
- {Malware file path}\{random characters5}.bat → used to check if safe mode is enabled, is deleted afterwards
- {Malware file path}\{random characters6}.bat → used to delete itself, is deleted afterwards
- {Malware file path}\{random characters7}.bat → used to reboot the system, is deleted afterwards
Fügt die folgenden Prozesse hinzu:
- If the file name contains the string "safe":
- sc create YfFomRpcSsWBSi binPath={Malware file path}\{Malware file name}" DisaplayName="Provides Remote Procedure Call features via remotely accessible Named Pipes tJuyRbOi" start=auto
- If the file name does not contain the string "safe":
- SC QUERY → query for services
- FINDSTR SERVICE_NAME → collect service names
- net stop YfFomRpcSsWBSi → terminates existing service of itself
- vssadmin delete shadows /all /quiet → delete shadow copies
- cmd /c ping 127.0.0.1
- del /f {Malware file name} → delete itself
- REG QUERY "HKLM\SYSTEM\CurrentControlSet\Control" /v SystemStartOptions → query for system start options if set to safeboot
- If the system start options is not set to safeboot:
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\VSS" /VE /T REG_SZ /F /D Service
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\YfFomRpcSsWBSi" /VE /T REG_SZ /F /D Service → enables the service in safe mode
- bcdedit /set {current} safeboot minimal → forces the Windows to restart in safe mode
- %Windows%\Sysnative\bcdedit.exe /set {current} safeboot minimal
- %Windows%\SysWOW64\bcdedit.exe /set {current} safeboot minimal
- %System%\bcdedit.exe /set {current} safeboot minimal
- %Windows%\Sysnative\bcdedit.exe → check if safe mode is enabled
- shutdown /r /f /t 00 → reboot the system
- %Windows%\SysWOW64\shutdown.exe /r /f /t 00
- %System%\shutdown.exe /r /f /t 00
- %Windows%\Sysnative\shutdown.exe /r /f /t 00
(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)
Autostart-Technik
Fügt die folgenden Einträge hinzu, um sich selbst im abgesicherten Modus auszuführen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal\
VSS
{Default} = Service → if the system start options is not set to safeboot
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal\
YfFomRpcSsWBSi
{Default} = Service → if the system start options is not set to safeboot
Startet die folgenden Dienste:
- Service Name: YfFomRpcSsWBSi
Display Name: Provides Remote Procedure Call features via remotely accessible Named Pipes tJuyRbOi
Image Path: {Malware File Path}\{Malware file name}
Prozessbeendigung
Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:
- SQL
- BACKUP
- TEAM
- EXCHANGE
Andere Details
Für ihre ordnungsgemäße Ausführung sind die folgenden Dateien erforderlich:
- Qt5Core.dll
- Qt5Gui.dll
- Qt5Network.dll
- Qt5Qml.dll
- Qt5Widgets.dll
- Qt5Xml.dll
- SafeDataTransform.exe → used to load the shellcode and decrypt the ransomware
- apimswincoreconsolel110.dll
- apimswincoreconsolel120.dll
- apimswincoredatetimel110.dll
- apimswincoredebugl110.dll
- apimswincoreerrorhandlingl110.dll
- apimswincorefilel110.dll
- apimswincorefilel120.dll
- apimswincorefilel210.dll
- apimswincorehandlel110.dll
- apimswincoreheapl110.dll
- apimswincoreinterlockedl110.dll
- apimswincorelibraryloaderl110.dll
- apimswincorelocalizationl120.dll
- apimswincorememoryl110.dll
- apimswincorenamedpipel110.dll
- apimswincoreprocessenvironmentl110.dll
- apimswincoreprocessthreadsl110.dll
- apimswincoreprocessthreadsl111.dll
- apimswincoreprofilel110.dll
- apimswincorertlsupportl110.dll
- apimswincorestringl110.dll
- apimswincoresynchl110.dll
- apimswincoresynchl120.dll
- apimswincoresysinfol110.dll
- apimswincoretimezonel110.dll
- apimswincoreutill110.dll
- apimswincrtconiol110.dll
- apimswincrtconvertl110.dll
- apimswincrtenvironmentl110.dll
- apimswincrtfilesysteml110.dll
- apimswincrtheapl110.dll
- apimswincrtlocalel110.dll
- apimswincrtmathl110.dll
- apimswincrtmultibytel110.dll
- apimswincrtprivatel110.dll
- apimswincrtprocessl110.dll
- apimswincrtruntimel110.dll
- apimswincrtstdiol110.dll
- apimswincrtstringl110.dll
- apimswincrttimel110.dll
- apimswincrtutilityl110.dll
- concrt140.dll
- howdoi.txt
- libmap64.dll
- libxl.dll
- msvcp140.dll
- msvcp140_1.dll
- msvcp140_2.dll
- msvcp140_atomic_wait.dll
- msvcp140_codecvt_ids.dll
- other_licenses.txt
- ucrtbase.dll
- ulha64.dll
- unins000.dat
- vccorlib140.dll
- vcruntime140.dll
- vcruntime140_1.dll
Es macht Folgendes:
- It affects all existing drives from A: to Z:.
- It checks if the file name contains the string "safe".
- If yes, it registers itself as a service.
- If no,
- It terminates existing service of itself.
- It deletes shadow copies.
- It executes and deletes itself.
- It checks if the system start options is set to safeboot.
- If yes, it starts the service.
- If no,
- It registers itself as a service and enables it in safe mode.
- It forces the Windows to restart in safe mode.
- It reboots the system to perform its malicious routine.
Lösungen
Step 1
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 2
<p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p><p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p>
Step 3
Im abgesicherten Modus neu starten
Step 4
Diesen Malware-Dienst deaktivieren
- Service Name: YfFomRpcSsWBSi
- Display Name: Provides Remote Procedure Call features via remotely accessible Named Pipes tJuyRbOi
- Image Path: {Malware File Path}\{Malware file name}
Step 5
Diesen Registrierungswert löschen
Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\VSS
- {Default} = Service
- {Default} = Service
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\YfFomRpcSsWBSi
- {Default} = Service
- {Default} = Service
Step 6
Diese Dateien suchen und löschen
- {Malware file path}\{random characters1}.bat
- {Malware file path}\{random characters2}.bat
- {Malware file path}\{random characters3}.bat
- {Malware file path}\{random characters4}.bat
- {Malware file path}\{random characters5}.bat
- {Malware file path}\{random characters6}.bat
- {Malware file path}\{random characters7}.bat
- {Malware file path}\{random characters1}.bat
- {Malware file path}\{random characters2}.bat
- {Malware file path}\{random characters3}.bat
- {Malware file path}\{random characters4}.bat
- {Malware file path}\{random characters5}.bat
- {Malware file path}\{random characters6}.bat
- {Malware file path}\{random characters7}.bat
Step 7
Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als Ransom.Win64.SNATCH.YADBA.enc entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Step 8
Restore encrypted files from backup.
Nehmen Sie an unserer Umfrage teil