Analysé par: Jay Bradley Nebre   
 

a variant of Win32/Filecoder.Buran.H trojan(Nod32)

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
 Information Exposure Rating::
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Ransomware

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Voie d'infection: Aus dem Internet heruntergeladen


  Détails techniques

File size: 221,696 bytes
File type: EXE
Memory resident: Oui
Date de réception des premiers échantillons: 22 novembre 2019
Charge malveillante: Encrypts files, Connects to URLs/IPs, Displays message/message boxes

Installation

Schleust die folgenden Dateien ein:

  • %User Temp%{Generated Hash}.zeppelin
  • %Application Data%{Random Name of Running Process} - copy of itself

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

  • notepad.exe - executed with injected code to delete original malware file
  • %Application Data%{Random Name of Running Process} - agent {No. of drives}
  • net stop "Acronis VSS Provider" /y;
  • net stop "Enterprise Client Service" /y;
  • net stop "SQL Backups" /y;
  • net stop "SQLsafe Backup Service" /y;
  • net stop "SQLsafe Filter Service" /y;
  • net stop "Sophos Agent" /y;
  • net stop "Sophos AutoUpdate Service" /y;
  • net stop "Sophos Clean Service" /y;
  • net stop "Sophos Device Control Service" /y;
  • net stop "Sophos File Scanner Service" /y;
  • net stop "Sophos Health Service" /y;
  • net stop "Sophos MCS Agent" /y;
  • net stop "Sophos MCS Client" /y;
  • net stop "Sophos Message Router" /y;
  • net stop "Sophos Safestore Service" /y;
  • net stop "Sophos System Protection Service" /y;
  • net stop "Sophos Web Control Service" /y;
  • net stop "Symantec System Recovery" /y;
  • net stop "Veeam Backup Catalog Data Service" /y;
  • net stop "Zoolz 2 Service" /y;
  • net stop ARSM /y;
  • net stop AVP /y;
  • net stop AcrSch2Svc /y;
  • net stop AcronisAgent /y;
  • net stop Antivirus /y;
  • net stop BackupExecAgentAccelerator /y;
  • net stop BackupExecAgentBrowser /y;
  • net stop BackupExecDeviceMediaService /y;
  • net stop BackupExecJobEngine /y;
  • net stop BackupExecManagementService /y;
  • net stop BackupExecRPCService /y;
  • net stop BackupExecVSSProvider /y;
  • net stop DCAgent /y;
  • net stop EPSecurityService /y;
  • net stop EPUpdateService /y;
  • net stop ESHASRV /y;
  • net stop EhttpSrv /y;
  • net stop EraserSvc11710 /y;
  • net stop EsgShKernel /y;
  • net stop FA_Scheduler /y;
  • net stop IISAdmin /y;
  • net stop IMAP4Svc /y;
  • net stop KAVFS /y;
  • net stop KAVFSGT /y;
  • net stop MBAMService /y;
  • net stop MBEndpointAgent /y;
  • net stop MMS /y;
  • net stop MSExchangeES /y;
  • net stop MSExchangeIS /y;
  • net stop MSExchangeMGMT /y;
  • net stop MSExchangeMTA /y;
  • net stop MSExchangeSA /y;
  • net stop MSExchangeSRS /y;
  • net stop MSOLAP$SQL_2008 /y;
  • net stop MSOLAP$SYSTEM_BGC /y;
  • net stop MSOLAP$TPS /y;
  • net stop MSOLAP$TPSAMA /y;
  • net stop MSSQL$BKUPEXEC /y;
  • net stop MSSQL$ECWDB2 /y;
  • net stop MSSQL$PRACTICEMGT /y;
  • net stop MSSQL$PRACTTICEBGC /y;
  • net stop MSSQL$PROD /y;
  • net stop MSSQL$PROFXENGAGEMENT /y;
  • net stop MSSQL$SBSMONITORING /y;
  • net stop MSSQL$SHAREPOINT /y;
  • net stop MSSQL$SOPHOS /y;
  • net stop MSSQL$SQLEXPRESS /y;
  • net stop MSSQL$SQL_2008 /y;
  • net stop MSSQL$SYSTEM_BGC /y;
  • net stop MSSQL$TPS /y;
  • net stop MSSQL$TPSAMA /y;
  • net stop MSSQL$VEEAMSQL2008R2 /y;
  • net stop MSSQL$VEEAMSQL2008R2 /y;
  • net stop MSSQL$VEEAMSQL2012 /y;
  • net stop MSSQLFDLauncher /y;
  • net stop MSSQLFDLauncher$PROFXENGAGEMENT /y;
  • net stop MSSQLFDLauncher$SBSMONITORING /y;
  • net stop MSSQLFDLauncher$SHAREPOINT /y;
  • net stop MSSQLFDLauncher$SQL_2008 /y;
  • net stop MSSQLFDLauncher$SYSTEM_BGC /y;
  • net stop MSSQLFDLauncher$TPS /y;
  • net stop MSSQLFDLauncher$TPSAMA /y;
  • net stop MSSQLSERVER /y;
  • net stop MSSQLServerADHelper /y;
  • net stop MSSQLServerADHelper100 /y;
  • net stop MSSQLServerOLAPService /y;
  • net stop McAfeeEngineService /y;
  • net stop McAfeeFramework /y;
  • net stop McAfeeFrameworkMcAfeeFramework /y;
  • net stop McShield /y;
  • net stop McTaskManager /y;
  • net stop MsDtsServer /y;
  • net stop MsDtsServer100 /y;
  • net stop MsDtsServer110 /y;
  • net stop MySQL57 /y;
  • net stop MySQL80 /y;
  • net stop NetMsmqActivator /y;
  • net stop OracleClientCache80 /y;
  • net stop PDVFSService /y;
  • net stop POP3Svc /y;
  • net stop RESvc /y;
  • net stop ReportServer /y;
  • net stop ReportServer$SQL_2008 /y;
  • net stop ReportServer$SYSTEM_BGC /y;
  • net stop ReportServer$TPS /y;
  • net stop ReportServer$TPSAMA /y;
  • net stop SAVAdminService /y;
  • net stop SAVService /y;
  • net stop SDRSVC /y;
  • net stop SMTPSvc /y;
  • net stop SNAC /y;
  • net stop SQLAgent$BKUPEXEC /y;
  • net stop SQLAgent$CITRIX_METAFRAME /y;
  • net stop SQLAgent$CXDB /y;
  • net stop SQLAgent$ECWDB2 /y;
  • net stop SQLAgent$PRACTTICEBGC /y;
  • net stop SQLAgent$PRACTTICEMGT /y;
  • net stop SQLAgent$PROD /y;
  • net stop SQLAgent$PROFXENGAGEMENT /y;
  • net stop SQLAgent$SBSMONITORING /y;
  • net stop SQLAgent$SHAREPOINT /y;
  • net stop SQLAgent$SOPHOS /y;
  • net stop SQLAgent$SQLEXPRESS /y;
  • net stop SQLAgent$SQL_2008 /y;
  • net stop SQLAgent$SYSTEM_BGC /y;
  • net stop SQLAgent$TPS /y;
  • net stop SQLAgent$TPSAMA /y;
  • net stop SQLAgent$VEEAMSQL2008R2 /y;
  • net stop SQLAgent$VEEAMSQL2008R2 /y;
  • net stop SQLAgent$VEEAMSQL2012 /y;
  • net stop SQLBrowser /y;
  • net stop SQLSERVERAGENT /y;
  • net stop SQLSafeOLRService /y;
  • net stop SQLTELEMETRY /y;
  • net stop SQLTELEMETRY$ECWDB2 /y;
  • net stop SQLWriter /y;
  • net stop SamSs /y;
  • net stop SepMasterService /y;
  • net stop ShMonitor /y;
  • net stop SmcService /y;
  • net stop Smcinst /y;
  • net stop SntpService /y;
  • net stop SstpSvc /y;
  • net stop TmCCSF /y;
  • net stop TrueKey /y;
  • net stop TrueKeyScheduler /y;
  • net stop TrueKeyServiceHelper /y;
  • net stop UI0Detect /y;
  • net stop VeeamBackupSvc /y;
  • net stop VeeamBrokerSvc /y;
  • net stop VeeamCatalogSvc /y;
  • net stop VeeamCloudSvc /y;
  • net stop VeeamDeploySvc /y;
  • net stop VeeamDeploymentService /y;
  • net stop VeeamEnterpriseManagerSvc /y;
  • net stop VeeamHvIntegrationSvc /y;
  • net stop VeeamMountSvc /y;
  • net stop VeeamNFSSvc /y;
  • net stop VeeamRESTSvc /y;
  • net stop VeeamTransportSvc /y;
  • net stop W3Svc /y;
  • net stop WRSVC /y;
  • net stop bedbg /y;
  • net stop ekrn /y;
  • net stop kavfsslp /y;
  • net stop klnagent /y;
  • net stop macmnsvc /y;
  • net stop masvc /y;
  • net stop mfefire /y;
  • net stop mfemms /y;
  • net stop mfevtp /y;
  • net stop mozyprobackup /y;
  • net stop msftesql$PROD /y;
  • net stop ntrtscan /y;
  • net stop sacsvr /y;
  • net stop sophossps /y;
  • net stop svcGenericHost /y;
  • net stop swi_filter /y;
  • net stop swi_service /y;
  • net stop swi_update /y;
  • net stop swi_update_64 /y;
  • net stop tmlisten /y;
  • net stop wbengine /y;
  • net stop wbengine /y;

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\Zeppelin
Process = {random string}

HKEY_CURRENT_USER\Software\Zeppelin
Knock = 666

HKEY_CURRENT_USER\Software\Zeppelin\
Keys
Public Key = {public key}

HKEY_CURRENT_USER\Software\Zeppelin\
Keys
Encrypted Private Key = {encrypted private key}

HKEY_CURRENT_USER\Software\Zeppelin\
Paths
Creates one for every drive. Value is equal to 0-{No. of drives} = {random string}

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
%Application Data%{Random Name of Running Process} = "{Random Name of Running Process}" -start;

  Solutions

Moteur de scan minimum: 9.850
First VSAPI Pattern File: 15.576.03
First VSAPI Pattern Release Date: 23 décembre 2019
VSAPI OPR Pattern Version: 15.577.00
VSAPI OPR Pattern Release Date: 24 décembre 2019

Step 2

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 3

Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.

Step 4

Diesen Registrierungsschlüssel löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • HKEY_CURRENT_USER\Software\Zeppelin

Step 5

Diese Datei suchen und löschen

[ learnMore ]
Möglicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Dateien und Ordner in den Suchergebnissen zu berücksichtigen.
  • %Application Data%{Random Name of Running Process}

Step 6

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als Ransom.Win32.BURAN.B entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.

Step 7

Restore encrypted files from backup.


Participez à notre enquête!