Ransom.Win32.BURAN.B
a variant of Win32/Filecoder.Buran.H trojan(Nod32)
Windows
Tipo de malware
Ransomware
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Detalles técnicos
Instalación
Infiltra los archivos siguientes:
- %User Temp%{Generated Hash}.zeppelin
- %Application Data%{Random Name of Running Process} - copy of itself
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).
. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).)Agrega los procesos siguientes:
- notepad.exe - executed with injected code to delete original malware file
- %Application Data%{Random Name of Running Process} - agent {No. of drives}
- net stop "Acronis VSS Provider" /y;
- net stop "Enterprise Client Service" /y;
- net stop "SQL Backups" /y;
- net stop "SQLsafe Backup Service" /y;
- net stop "SQLsafe Filter Service" /y;
- net stop "Sophos Agent" /y;
- net stop "Sophos AutoUpdate Service" /y;
- net stop "Sophos Clean Service" /y;
- net stop "Sophos Device Control Service" /y;
- net stop "Sophos File Scanner Service" /y;
- net stop "Sophos Health Service" /y;
- net stop "Sophos MCS Agent" /y;
- net stop "Sophos MCS Client" /y;
- net stop "Sophos Message Router" /y;
- net stop "Sophos Safestore Service" /y;
- net stop "Sophos System Protection Service" /y;
- net stop "Sophos Web Control Service" /y;
- net stop "Symantec System Recovery" /y;
- net stop "Veeam Backup Catalog Data Service" /y;
- net stop "Zoolz 2 Service" /y;
- net stop ARSM /y;
- net stop AVP /y;
- net stop AcrSch2Svc /y;
- net stop AcronisAgent /y;
- net stop Antivirus /y;
- net stop BackupExecAgentAccelerator /y;
- net stop BackupExecAgentBrowser /y;
- net stop BackupExecDeviceMediaService /y;
- net stop BackupExecJobEngine /y;
- net stop BackupExecManagementService /y;
- net stop BackupExecRPCService /y;
- net stop BackupExecVSSProvider /y;
- net stop DCAgent /y;
- net stop EPSecurityService /y;
- net stop EPUpdateService /y;
- net stop ESHASRV /y;
- net stop EhttpSrv /y;
- net stop EraserSvc11710 /y;
- net stop EsgShKernel /y;
- net stop FA_Scheduler /y;
- net stop IISAdmin /y;
- net stop IMAP4Svc /y;
- net stop KAVFS /y;
- net stop KAVFSGT /y;
- net stop MBAMService /y;
- net stop MBEndpointAgent /y;
- net stop MMS /y;
- net stop MSExchangeES /y;
- net stop MSExchangeIS /y;
- net stop MSExchangeMGMT /y;
- net stop MSExchangeMTA /y;
- net stop MSExchangeSA /y;
- net stop MSExchangeSRS /y;
- net stop MSOLAP$SQL_2008 /y;
- net stop MSOLAP$SYSTEM_BGC /y;
- net stop MSOLAP$TPS /y;
- net stop MSOLAP$TPSAMA /y;
- net stop MSSQL$BKUPEXEC /y;
- net stop MSSQL$ECWDB2 /y;
- net stop MSSQL$PRACTICEMGT /y;
- net stop MSSQL$PRACTTICEBGC /y;
- net stop MSSQL$PROD /y;
- net stop MSSQL$PROFXENGAGEMENT /y;
- net stop MSSQL$SBSMONITORING /y;
- net stop MSSQL$SHAREPOINT /y;
- net stop MSSQL$SOPHOS /y;
- net stop MSSQL$SQLEXPRESS /y;
- net stop MSSQL$SQL_2008 /y;
- net stop MSSQL$SYSTEM_BGC /y;
- net stop MSSQL$TPS /y;
- net stop MSSQL$TPSAMA /y;
- net stop MSSQL$VEEAMSQL2008R2 /y;
- net stop MSSQL$VEEAMSQL2008R2 /y;
- net stop MSSQL$VEEAMSQL2012 /y;
- net stop MSSQLFDLauncher /y;
- net stop MSSQLFDLauncher$PROFXENGAGEMENT /y;
- net stop MSSQLFDLauncher$SBSMONITORING /y;
- net stop MSSQLFDLauncher$SHAREPOINT /y;
- net stop MSSQLFDLauncher$SQL_2008 /y;
- net stop MSSQLFDLauncher$SYSTEM_BGC /y;
- net stop MSSQLFDLauncher$TPS /y;
- net stop MSSQLFDLauncher$TPSAMA /y;
- net stop MSSQLSERVER /y;
- net stop MSSQLServerADHelper /y;
- net stop MSSQLServerADHelper100 /y;
- net stop MSSQLServerOLAPService /y;
- net stop McAfeeEngineService /y;
- net stop McAfeeFramework /y;
- net stop McAfeeFrameworkMcAfeeFramework /y;
- net stop McShield /y;
- net stop McTaskManager /y;
- net stop MsDtsServer /y;
- net stop MsDtsServer100 /y;
- net stop MsDtsServer110 /y;
- net stop MySQL57 /y;
- net stop MySQL80 /y;
- net stop NetMsmqActivator /y;
- net stop OracleClientCache80 /y;
- net stop PDVFSService /y;
- net stop POP3Svc /y;
- net stop RESvc /y;
- net stop ReportServer /y;
- net stop ReportServer$SQL_2008 /y;
- net stop ReportServer$SYSTEM_BGC /y;
- net stop ReportServer$TPS /y;
- net stop ReportServer$TPSAMA /y;
- net stop SAVAdminService /y;
- net stop SAVService /y;
- net stop SDRSVC /y;
- net stop SMTPSvc /y;
- net stop SNAC /y;
- net stop SQLAgent$BKUPEXEC /y;
- net stop SQLAgent$CITRIX_METAFRAME /y;
- net stop SQLAgent$CXDB /y;
- net stop SQLAgent$ECWDB2 /y;
- net stop SQLAgent$PRACTTICEBGC /y;
- net stop SQLAgent$PRACTTICEMGT /y;
- net stop SQLAgent$PROD /y;
- net stop SQLAgent$PROFXENGAGEMENT /y;
- net stop SQLAgent$SBSMONITORING /y;
- net stop SQLAgent$SHAREPOINT /y;
- net stop SQLAgent$SOPHOS /y;
- net stop SQLAgent$SQLEXPRESS /y;
- net stop SQLAgent$SQL_2008 /y;
- net stop SQLAgent$SYSTEM_BGC /y;
- net stop SQLAgent$TPS /y;
- net stop SQLAgent$TPSAMA /y;
- net stop SQLAgent$VEEAMSQL2008R2 /y;
- net stop SQLAgent$VEEAMSQL2008R2 /y;
- net stop SQLAgent$VEEAMSQL2012 /y;
- net stop SQLBrowser /y;
- net stop SQLSERVERAGENT /y;
- net stop SQLSafeOLRService /y;
- net stop SQLTELEMETRY /y;
- net stop SQLTELEMETRY$ECWDB2 /y;
- net stop SQLWriter /y;
- net stop SamSs /y;
- net stop SepMasterService /y;
- net stop ShMonitor /y;
- net stop SmcService /y;
- net stop Smcinst /y;
- net stop SntpService /y;
- net stop SstpSvc /y;
- net stop TmCCSF /y;
- net stop TrueKey /y;
- net stop TrueKeyScheduler /y;
- net stop TrueKeyServiceHelper /y;
- net stop UI0Detect /y;
- net stop VeeamBackupSvc /y;
- net stop VeeamBrokerSvc /y;
- net stop VeeamCatalogSvc /y;
- net stop VeeamCloudSvc /y;
- net stop VeeamDeploySvc /y;
- net stop VeeamDeploymentService /y;
- net stop VeeamEnterpriseManagerSvc /y;
- net stop VeeamHvIntegrationSvc /y;
- net stop VeeamMountSvc /y;
- net stop VeeamNFSSvc /y;
- net stop VeeamRESTSvc /y;
- net stop VeeamTransportSvc /y;
- net stop W3Svc /y;
- net stop WRSVC /y;
- net stop bedbg /y;
- net stop ekrn /y;
- net stop kavfsslp /y;
- net stop klnagent /y;
- net stop macmnsvc /y;
- net stop masvc /y;
- net stop mfefire /y;
- net stop mfemms /y;
- net stop mfevtp /y;
- net stop mozyprobackup /y;
- net stop msftesql$PROD /y;
- net stop ntrtscan /y;
- net stop sacsvr /y;
- net stop sophossps /y;
- net stop svcGenericHost /y;
- net stop swi_filter /y;
- net stop swi_service /y;
- net stop swi_update /y;
- net stop swi_update_64 /y;
- net stop tmlisten /y;
- net stop wbengine /y;
- net stop wbengine /y;
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).
)Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\Zeppelin
Process = {random string}
HKEY_CURRENT_USER\Software\Zeppelin
Knock = 666
HKEY_CURRENT_USER\Software\Zeppelin\
Keys
Public Key = {public key}
HKEY_CURRENT_USER\Software\Zeppelin\
Keys
Encrypted Private Key = {encrypted private key}
HKEY_CURRENT_USER\Software\Zeppelin\
Paths
Creates one for every drive. Value is equal to 0-{No. of drives} = {random string}
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
%Application Data%{Random Name of Running Process} = "{Random Name of Running Process}" -start;
Soluciones
Step 2
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 3
Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.
Step 4
Eliminar esta clave del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- HKEY_CURRENT_USER\Software\Zeppelin
Step 5
Buscar y eliminar este archivo
- %Application Data%{Random Name of Running Process}
Step 6
Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como Ransom.Win32.BURAN.B En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Step 7
Restore encrypted files from backup.
Rellene nuestra encuesta!