Analyse von: Jeffrey Francis Bonaobra   
 

UDS:Trojan-Ransom.Win32.Snatch.v (KASPERSKY)

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Ransomware

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
    Ja

  • In the wild::
    Ja

  Überblick

Infektionsweg: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

  Technische Details

Dateigröße: 12,285,022 bytes
Dateityp: WAV, EXE
Speicherresiden: Ja
Erste Muster erhalten am: 01 Februar 2023
Schadteil: Drops files

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Dateien ein:

  • {Malware file path}\{random characters1}.bat → used to query for services, is deleted afterwards
  • {Malware file path}\{random characters2}.bat → used to delete shadow copies, is deleted afterwards
  • {Malware file path}\{random characters3}.bat → used to register itself as a service, is deleted afterwards
  • {Malware file path}\{random characters4}.bat → used to enable safe mode, is deleted afterwards
  • {Malware file path}\{random characters5}.bat → used to check if safe mode is enabled, is deleted afterwards
  • {Malware file path}\{random characters6}.bat → used to delete itself, is deleted afterwards
  • {Malware file path}\{random characters7}.bat → used to reboot the system, is deleted afterwards

Fügt die folgenden Prozesse hinzu:

  • If the file name contains the string "safe":
    • sc create YfFomRpcSsWBSi binPath={Malware file path}\{Malware file name}" DisaplayName="Provides Remote Procedure Call features via remotely accessible Named Pipes tJuyRbOi" start=auto
  • If the file name does not contain the string "safe":
    • SC QUERY → query for services
    • FINDSTR SERVICE_NAME → collect service names
    • net stop YfFomRpcSsWBSi → terminates existing service of itself
    • vssadmin delete shadows /all /quiet → delete shadow copies
    • cmd /c ping 127.0.0.1
    • del /f {Malware file name} → delete itself
  • REG QUERY "HKLM\SYSTEM\CurrentControlSet\Control" /v SystemStartOptions → query for system start options if set to safeboot
  • If the system start options is not set to safeboot:
    • REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\VSS" /VE /T REG_SZ /F /D Service
    • REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\YfFomRpcSsWBSi" /VE /T REG_SZ /F /D Service → enables the service in safe mode
    • bcdedit /set {current} safeboot minimal → forces the Windows to restart in safe mode
    • %Windows%\Sysnative\bcdedit.exe /set {current} safeboot minimal
    • %Windows%\SysWOW64\bcdedit.exe /set {current} safeboot minimal
    • %System%\bcdedit.exe /set {current} safeboot minimal
    • %Windows%\Sysnative\bcdedit.exe → check if safe mode is enabled
    • shutdown /r /f /t 00 → reboot the system
    • %Windows%\SysWOW64\shutdown.exe /r /f /t 00
    • %System%\shutdown.exe /r /f /t 00
    • %Windows%\Sysnative\shutdown.exe /r /f /t 00

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

Autostart-Technik

Fügt die folgenden Einträge hinzu, um sich selbst im abgesicherten Modus auszuführen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal\
VSS
{Default} = Service → if the system start options is not set to safeboot

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal\
YfFomRpcSsWBSi
{Default} = Service → if the system start options is not set to safeboot

Startet die folgenden Dienste:

  • Service Name: YfFomRpcSsWBSi
    Display Name: Provides Remote Procedure Call features via remotely accessible Named Pipes tJuyRbOi
    Image Path: {Malware File Path}\{Malware file name}

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

  • SQL
  • BACKUP
  • TEAM
  • EXCHANGE

Andere Details

Für ihre ordnungsgemäße Ausführung sind die folgenden Dateien erforderlich:

  • Qt5Core.dll
  • Qt5Gui.dll
  • Qt5Network.dll
  • Qt5Qml.dll
  • Qt5Widgets.dll
  • Qt5Xml.dll
  • SafeDataTransform.exe → used to load the shellcode and decrypt the ransomware
  • apimswincoreconsolel110.dll
  • apimswincoreconsolel120.dll
  • apimswincoredatetimel110.dll
  • apimswincoredebugl110.dll
  • apimswincoreerrorhandlingl110.dll
  • apimswincorefilel110.dll
  • apimswincorefilel120.dll
  • apimswincorefilel210.dll
  • apimswincorehandlel110.dll
  • apimswincoreheapl110.dll
  • apimswincoreinterlockedl110.dll
  • apimswincorelibraryloaderl110.dll
  • apimswincorelocalizationl120.dll
  • apimswincorememoryl110.dll
  • apimswincorenamedpipel110.dll
  • apimswincoreprocessenvironmentl110.dll
  • apimswincoreprocessthreadsl110.dll
  • apimswincoreprocessthreadsl111.dll
  • apimswincoreprofilel110.dll
  • apimswincorertlsupportl110.dll
  • apimswincorestringl110.dll
  • apimswincoresynchl110.dll
  • apimswincoresynchl120.dll
  • apimswincoresysinfol110.dll
  • apimswincoretimezonel110.dll
  • apimswincoreutill110.dll
  • apimswincrtconiol110.dll
  • apimswincrtconvertl110.dll
  • apimswincrtenvironmentl110.dll
  • apimswincrtfilesysteml110.dll
  • apimswincrtheapl110.dll
  • apimswincrtlocalel110.dll
  • apimswincrtmathl110.dll
  • apimswincrtmultibytel110.dll
  • apimswincrtprivatel110.dll
  • apimswincrtprocessl110.dll
  • apimswincrtruntimel110.dll
  • apimswincrtstdiol110.dll
  • apimswincrtstringl110.dll
  • apimswincrttimel110.dll
  • apimswincrtutilityl110.dll
  • concrt140.dll
  • howdoi.txt
  • libmap64.dll
  • libxl.dll
  • msvcp140.dll
  • msvcp140_1.dll
  • msvcp140_2.dll
  • msvcp140_atomic_wait.dll
  • msvcp140_codecvt_ids.dll
  • other_licenses.txt
  • ucrtbase.dll
  • ulha64.dll
  • unins000.dat
  • vccorlib140.dll
  • vcruntime140.dll
  • vcruntime140_1.dll

Es macht Folgendes:

  • It affects all existing drives from A: to Z:.
  • It checks if the file name contains the string "safe".
    • If yes, it registers itself as a service.
    • If no,
      • It terminates existing service of itself.
      • It deletes shadow copies.
      • It executes and deletes itself.
  • It checks if the system start options is set to safeboot.
    • If yes, it starts the service.
    • If no,
      • It registers itself as a service and enables it in safe mode.
      • It forces the Windows to restart in safe mode.
      • It reboots the system to perform its malicious routine.

  Lösungen

Mindestversion der Scan Engine: 9.800
Erste VSAPI Pattern-Datei: 18.230.05
Erste VSAPI Pattern veröffentlicht am: 01 Februar 2023
VSAPI OPR Pattern-Version: 18.231.00
VSAPI OPR Pattern veröffentlicht am: 02 Februar 2023

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

<p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p><p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p>

Step 3

Im abgesicherten Modus neu starten

[ learnMore ]

Step 4

Diesen Malware-Dienst deaktivieren

[ learnMore ]
    • Service Name: YfFomRpcSsWBSi
    • Display Name: Provides Remote Procedure Call features via remotely accessible Named Pipes tJuyRbOi
    • Image Path: {Malware File Path}\{Malware file name}

Step 5

Diesen Registrierungswert löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\VSS
    • {Default} = Service
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\YfFomRpcSsWBSi
    • {Default} = Service

Step 6

Diese Dateien suchen und löschen

[ learnMore ]
Möglicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter "Weitere erweiterte Optionen", um alle verborgenen Dateien und Ordner in den Suchergebnissen zu berücksichtigen.
  • {Malware file path}\{random characters1}.bat
  • {Malware file path}\{random characters2}.bat
  • {Malware file path}\{random characters3}.bat
  • {Malware file path}\{random characters4}.bat
  • {Malware file path}\{random characters5}.bat
  • {Malware file path}\{random characters6}.bat
  • {Malware file path}\{random characters7}.bat
 DATA_GENERIC_FILENAME_1
  • Wählen Sie im Listenfeld lt;i>Suchen in die Option Arbeitsplatz, und drücken Sie die Eingabetaste.
  • Markieren Sie die gefundene Datei, und drücken Sie UMSCHALT+ENTF, um sie endgültig zu löschen.
  • Wiederholen Sie die Schritte 2 bis 4 für die übrigen Dateien:
      • {Malware file path}\{random characters1}.bat
      • {Malware file path}\{random characters2}.bat
      • {Malware file path}\{random characters3}.bat
      • {Malware file path}\{random characters4}.bat
      • {Malware file path}\{random characters5}.bat
      • {Malware file path}\{random characters6}.bat
      • {Malware file path}\{random characters7}.bat

    • Step 7

    Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als Ransom.Win64.SNATCH.YADBA.enc entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.

    Step 8

    Restore encrypted files from backup.


    Nehmen Sie an unserer Umfrage teil