Ransom.Win32.BLACKCAT.C

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Dateien ein:

• %Temp%\{random numbers}.exe
• {Encrypted Directory}\checkpoints-{Encrypted File Name}.qgk5spt → deleted after file encryption
• %Desktop%\RECOVER-qgk5spt-FILES.txt.png

(Hinweis: %Temp% ist der Windows Ordner für temporäre Dateien, normalerweise C:\Windows\Temp oder C:\WINNT\Temp.. %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\Desktop unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

• "%System%\cmd.exe" /c "reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\109887672622700698813643583812537429462 /d Service"
• "%System%\cmd.exe" /c "bcdedit /set {current} safeboot minimal"
• {Malware File Name} --safeboot-instance --access-token {ACCESS_TOKEN} --prop-arg-safeboot --no-net --no-prop --no-impers --prop-file \"{Malware File Path}\{Malware File Name}\"
• "%System%\cmd.exe" /c "%User Temp%\{random numbers}.exe --safeboot-instance --access-token {ACCESS_TOKEN} --prop-arg-safeboot --no-net --no-prop --no-impers --prop-file \"{Malware File Path}\{Malware File Name}\" --prop-file \"{Malware File Path}\{Malware File Name}\""
• %User Temp%\{random numbers}.exe --safeboot-instance --access-token {ACCESS_TOKEN} --prop-arg-safeboot --no-net --no-prop --no-impers --prop-file \"{Malware File Path}\{Malware File Name}\" --prop-file \"{Malware File Path}\{Malware File Name}\"
• "%System%\cmd.exe" /c "iisreset.exe /stop"
• "%System%\cmd.exe" /c "reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v MaxMpxCt /d 65535 /t REG_DWORD /f"
• "%System%\cmd.exe" /c "vssadmin.exe Delete Shadows /all /quiet"
• "%System%\cmd.exe" /c "arp -a"
• "%System%\cmd.exe" /c "wmic.exe Shadowcopy Delete"
• "%System%\cmd.exe" /c "wevtutil.exe el"
• "%System%\cmd.exe" /c "wevutil.exe cl \"{Windows Event Logs}"
• "%System%\cmd.exe" /c "bcdedit /set {default} recoveryenabled No"
• "%System%\cmd.exe" /c "bcdedit /set {current} safeboot network"
• "%System%\cmd.exe" /c "bcdedit /deletevalue {current} safeboot"
• "%System%\cmd.exe" /c "fsutil behavior set SymlinkEvaluation R2L:1"
• "%System%\cmd.exe" /c "fsutil behavior set SymlinkEvaluation R2R:1"
• wmic csproduct get UUID

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Autostart-Technik

Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal\
109887672622700698813643583812537429462
(Default) = Service

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\LanmanServer\Parameters
MaxMpxCt = 65535

Stellt auf dem System das folgende Bild als Desktop-Hintergrundbild ein:

• %Desktop%\RECOVER-qgk5spt-FILES.txt.png
  

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

• mepocs
• memtas
• veeam
• svc$
• backup
• sql
• vss
• msexchange
• sql$
• mysql
• mysql$
• sophos
• MSExchange
• MSExchange$
• WSBExchange
• PDVFSService
• BackupExecVSSProvider
• BackupExecAgentAccelerator
• BackupExecAgentBrowser
• BackupExecDiveciMediaService
• BackupExecJobEngine
• BackupExecManagementService
• BackupExecRPCService
• GxBlr
• GxVss
• GxClMgrS
• GxCVD
• GxCIMgr
• GXMMM
• GxVssHWProv
• GxFWD
• SAPService
• SAP
• SAP$
• SAPD$
• SAPHostControl
• SAPHostExec
• QBCFMonitorService
• QBDBMgrN
• QBIDPService
• AcronisAgent
• VeeamNFSSvc
• VeeamDeploymentService
• VeeamTransportSvc
• MVArmor
• MVarmor64
• VSNAPVSS
• AcrSch2Svc

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• agntsvc
• dbeng50
• dbsnmp
• encsvc
• excel
• firefox
• infopath
• isqlplussvc
• msaccess
• mspub
• mydesktopqos
• mydesktopservice
• notepad
• ocautoupds
• ocomm
• ocssd
• onenote
• oracle
• outlook
• powerpnt
• sqbcoreservice
• sql
• steam
• synctime
• tbirdconfig
• thebat
• thunderbird
• visio
• winword
• wordpad
• xfssvccon
• *sql*
• bedbh
• vxmon
• benetns
• bengien
• pvlsvr
• beserver
• raw_agent_svc
• vsnapvss
• CagService
• QBIDPService
• QBDBMgrN
• QBCFMonitorService
• SAP
• TeamViewer_Service
• TeamViewer
• tv_w32
• tv_x64
• CVMountd
• cvd
• cvfwd
• CVODS
• saphostexec
• saposcol
• sapstartsrv
• avagent
• avscc
• DellSystemDetect
• EnterpriseClient
• VeeamNFSSvc
• VeeamTransportSvc
• VeeamDeploymentSvc

Andere Details

Es macht Folgendes:

• It requires being executed with the following arguments to proceed with its encryption routine:
  • --access-token {ACCESS_TOKEN} --safeboot
• It clears Windows event logs.
• It terminates ESXi VMs.
• It uses PsExec to propagate.
• It creates a pipe named:
  • \.\pipe\__rust_anonymous_pipe1__.{Process ID}.{random characters}