Ransom.Win32.SODINOKIBI.THDO

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Dateien ein:

• {Malware Path}\DBG_LOG.TXT → logs all the system changes done by the malware
• %User Temp%\{Random Characters}.bmp → used as wallpaper

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

• powershell -e {Base-64 Encoded Command} → Deletes shadow copies

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• Global\D2E08536-A08B-1B12-DFD4-7AA58181F7FD

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Facebook_Assistant
vW7 = {Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\Facebook_Assistant
Zi51 = {Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\Facebook_Assistant
k7Zbb = {Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\Facebook_Assistant
SCayjH = {Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\Facebook_Assistant
urVMni9 = Appended Extension

HKEY_LOCAL_MACHINE\SOFTWARE\Facebook_Assistant
74uP24hQ = {Hex Values}

Ändert das Hintergrundbild des Desktops durch Abänderung der folgenden Registrierungseinträge:

HKEY_CURRENT_USER\Control Panel\desktop
Wallpaper = %User Temp%\{Random Characters}.bmp

Stellt auf dem System das folgende Bild als Desktop-Hintergrundbild ein:

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

• backup
• memtas
• mepocs
• sophos
• sql
• svc$
• veeam
• vss

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• agntsvc
• dbeng50
• dbsnmp
• encsvc
• excel
• firefox
• infopath
• isqlplussvc
• msaccess
• mspub
• mydesktopqos
• mydesktopservice
• ocautoupds
• ocomm
• ocssd
• onenote
• oracle
• outlook
• powerpnt
• sqbcoreservice
• sql
• steam
• synctime
• tbirdconfig
• thebat
• thunderbird
• visio
• winword
• wordpad
• xfssvccon

Datendiebstahl

Folgende Daten werden gesammelt:

• Computer name
• Operating System name
• System Architecture
• Username
• Workgroup

Andere Details

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Facebook_Assistant

Es macht Folgendes:

• It checks for the system's computer layout and terminates if it is any of the following:
  
  • Russian
  • Ukrainian
  • Belarusian
  • Tajik
  • Armenian
  • Azeri-Latin
  • Georgian
  • Kazakh
  • Kyrgyz-Cyrillic
  • Slovenian
  • Uzbek-Latin
  • Tatar
  • Romanian-Moldova
  • Russian-Moldova
  • Azeri-Cyrillic
  • Uzbek-Cyrillic
  • Syriac
  • Arabic-Syria
• It wipes the contents of the following folder(s):
  
  • backup
• It checks if its privilege level is on SYSTEM level. If it is, it will impersonate the user that ran the first explorer.exe it has found.
• It accepts the following parameters:
  
  • -nolan → avoids encrypting network and shared drives
  • -nolocal → avoids encrypting fixed and removable drives
  • -silent → skips the following:
    • Termination of blacklisted processes and services
    • Removal of shadow copies
  • -path → encrypts the specified directory
  • -fast → fast encryption mode
• It displays the following window where it logs all the system changes which will be written on the {Malware Path}\DBG_LOG.TXT: