Ransom.Win32.SODINOKIBI.THB

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Dateien ein:

• %User Temp%\{Random Characters}.bmp → used as wallpaper

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

• bcdedit /set {current} safeboot network → if -smode parameter is used (Safe boot with networking)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• Global\8C39F091-3A8D-46F4-DBC5-DDA17B3C63C2

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
aDTFUAIa7j = {Malware Path}\{Malware Filename}.exe

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\BlackLivesMatter
aCp = {Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\BlackLivesMatter
wuHK = {Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\BlackLivesMatter
zhF9j = {Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\BlackLivesMatter
JLKwyr = {Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\BlackLivesMatter
jKxaK5W = {Appended Extension}

HKEY_LOCAL_MACHINE\SOFTWARE\BlackLivesMatter
imnaqv4N = {Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
*AstraZeneca = {Malware Path}\{Malware Filename}.exe → if -smode parameter is used

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
*franceisshit = bcdedit /deletevalue {current} safeboot → if -smode parameter is used (turns off safe mode)

Ändert das Hintergrundbild des Desktops durch Abänderung der folgenden Registrierungseinträge:

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %User Temp%\{Random Characters}.bmp

Stellt auf dem System das folgende Bild als Desktop-Hintergrundbild ein:

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

• ADSync
• Altaro.Agent.exe
• Altaro.DedupService.exe
• Altaro.HyperV.WAN.RemoteService.exe
• Altaro.OffsiteServer.Service.exe
• Altaro.OffsiteServer.UI.Service.exe
• Altaro.SubAgent.exe
• Altaro.SubAgent.N2.exe
• Altaro.UI.Service.exe
• AltiBack
• AltiCTProxy
• AltiFTPUploader
• AltiPhoneServ
• ALTIVRM
• Amsp
• AUService
• AzureADConnectAgentUpdater
• AzureADConnectAuthenticationAgent
• AzureADConnectHealthSyncInsights
• AzureADConnectHealthSyncMonitor
• backup
• BackupExecAgentAccelerator
• bedbg
• Code42Service
• ds_agent
• ds_monitor
• ds_notifier
• DsSvc
• HuntressAgent
• HuntressUpdater
• KACHIPS906995744173948
• KAENDCHIPS906995744173948
• KaseyaAgent
• KaseyaAgentEndpoint
• KAVFS
• kavfsscs
• klnagent
• LTService
• LTSvcMon
• macmnsvc
• masvc
• MBAMService
• McAfeeFramework
• memtas
• mepocs
• mfemms
• mfevtp
• mfewc
• Microsoft.exchange.store.worker.exe
• MsDtsServer110
• MsDtsServer120
• MsDtsServer130
• msseces
• MSSQL$HPWJA
• MSSQL$MSGPMR
• MSSQL$QM
• MSSQL$SQLEXPRESS
• MSSQL$SQLEXPRESSADV
• MSSQLFDLauncher
• MSSQLFDLauncher$SQLEXPRESS
• MSSQLFDLauncher$TESTBACKUP02DEV
• MSSQLLaunchpad$SQLEXPRESS
• MSSQLSERVER
• MSSQLServerADHelper100
• MSSQLServerOLAPService
• MSSQLTESTBACKUP02DEV
• MySQL
• mysqld
• ntrtscan
• ofcservice
• ProtectedStorage
• psqlWGE
• ReportServer
• Sage 100c Advanced 2017 (9917)
• Sage 100cloud Advanced 2020 (9920)
• Sage.NA.AT_AU.Service
• SAVAdminService
• SAVService
• SBAMSvc
• SntpService
• sophos
• Sophos AutoUpdate Service
• Sophos Clean Service
• Sophos Device Control Service
• Sophos Endpoint Defense Service
• Sophos File Scanner Service
• Sophos Health Service
• Sophos MCS Agent
• Sophos MCS Client
• Sophos Safestore Service
• Sophos System Protection Service
• Sophos Web Control Service
• SophosFIM
• sophossps
• sppsvc
• sql
• SQLAgent$MSGPMR
• SQLAgent$SQLEXPRESS
• SQLBrowser
• SQLEXPRESSADV
• SQLServer Analysis Services (MSSQLSERVER)
• SQLServer Integration Services 12.0
• SQLServer Reporting Services (MSSQLSERVER)
• SQLSERVERAGENT
• sqlservr
• SQLTELEMETRY
• SQLTELEMETRY$MSGPMR
• SQLTELEMETRY$SQLEXPRESS
• SQLWriter
• SSASTELEMETRY
• SSISTELEMETRY130
• StorageCraft ImageReady
• StorageCraft Raw Agent
• StorageCraft Shadow Copy Provider
• svc$
• svcGenericHost
• swi_filter
• swi_service
• TeamViewer
• Telemetryserver
• ThreadLocker
• TMBMServer
• TmCCSF
• tmlisten
• veeam
• VeeamDeploymentService
• VeeamDeploySvc
• VeeamEndpointBackupSvc
• VeeamHvIntegrationSvc
• VeeamMountSvc
• VeeamNFSSvc
• VeeamTransportSvc
• VipreAAPSvc
• ViprePPLSvc
• vss
• VSS

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• agntsvc
• AmitiAvSrv
• avgadmsv
• BackupAgent
• BackupExtender
• BackupMaint
• BackupUpdater
• CarboniteUI
• ccSetMgr
• ccSvcHst
• dbeng50
• dbsnmp
• DLOAdminSvcu
• dlomaintsvcu
• encsvc
• excel
• firefox
• infopath
• isqlplussvc
• kavfs
• kavfsscs
• kavfswp
• klnagent
• lmibackupvssservice
• LogmeInBackupService
• Microsoft.exchange.store.worker.exe
• msaccess
• mspub
• mydesktopqos
• mydesktopservice
• NSCTOP
• ocautoupds
• ocomm
• ocssd
• onenote
• oracle
• outlook
• powerpnt
• Rtvscan
• Sage.NA.AT_AU.SysTray
• ShadowProtectSvc
• Smc
• SPBBCSvc
• sqbcoreservice
• sql
• steam
• synctime
• tbirdconfig
• thebat
• thunderbird
• TSSchBkpService
• visio
• winword
• wordpad
• xfssvccon

Datendiebstahl

Folgende Daten werden gesammelt:

• Computer name
• User name
• Workgroup
• Processor
• Operating System
• System Architecture

Andere Details

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\BlackLivesMatter

Es macht Folgendes:

• It will terminate itself if the affected system's keyboard layout is any of the following:
  • Arabic-Syria
  • Armenian-Armenia
  • Azerbaijani (Cyrillic)-Azerbaijan
  • Azerbaijani (Latin)-Azerbaijan
  • Belarusian
  • Georgian-Georgia
  • Kazakh-Kazakhstan
  • Kyrgyz-Kyrgyzstan
  • Romanian-Moldova
  • Russian
  • Russian-Moldova
  • Syriac - Syria
  • Tajikistan - Tajik (Cyrillic)
  • Tatar-Russia
  • Turkmen-Turkmenistan
  • Ukrainian
  • Uzbek (Cyrillic) - Uzbekistan
  • Uzbek (Latin)-Uzbekistan
• It checks if its privilege level is on SYSTEM level. If it is, it will impersonate the user that ran the first explorer.exe it has found.
• It wipes the contents of the following folder:
  • backup
• It searches for files to encrypt in remote drives, fixed drives, removable drives, and network resources.