Ransom.Win32.ZEPPELIN.K

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Wird ausgeführt und löscht sich dann selbst.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Dateien ein:

• %User Temp%\{Random Characters}.zeppelin
• %User Temp%\~{Random Characters}.bat → responsible for deleting shadow copies

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %Application Data%\Microsoft\Windows\{Random name of any running process}.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

• "%System%\cmd.exe" /C %User Temp%\~{Random Characters}.bat
• "%System%\cmd.exe" /C wmic shadowcopy delete
• "%System%\cmd.exe" /C bcdedit /set {default} recoveryenabled no
• "%System%\cmd.exe" /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
• "%System%\cmd.exe" /C wbadmin delete catalog -quiet
• "%System%\cmd.exe" /C vssadmin delete shadows /all /quiet
• "%Application Data%\Microsoft\Windows\{Random name of any running process}.exe" -agent {Corresponding number of Drive from HKEY_CURRENT_USER\Software\Zeppelin\Paths}

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Wird ausgeführt und löscht sich dann selbst.

Injiziert Code in die folgenden Prozesse:

• %System%\notepad.exe → for deleting itself

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Same filename from the dropped copy on %Application Data%\Microsoft\Windows} = "%Application Data%\Microsoft\Windows\{Random name of any running process}.exe" -start

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Zeppelin
Process = {Random Characters}

HKEY_CURRENT_USER\Software\Zeppelin\
Paths
{A numerical value starting from 0 that increments for each logical drives found} = {Corresponding Drive Letter}

• Note: The number of registry entries created depends on the number of logical drives found

HKEY_CURRENT_USER\Software\Zeppelin\
Log
{Corresponding value of Drive Letter from HKEY_CURRENT_USER\Software\Zeppelin\Paths registry key} = {Number of encrypted files} | {Path}

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

• agntsvc.exe
• anvir.exe
• anvir64.exe
• apache.exe
• backup.exe
• ccleaner.exe
• ccleaner64.exe
• dbeng50.exe
• dbsnmp.exe
• encsvc.exe
• far.exe
• firefoxconfig.exe
• infopath.exe
• isqlplussvc.exe
• kingdee.exe
• msaccess.exe
• msftesql.exe
• mspub.exe
• mydesktopqos.exe
• mydesktopservice.exe
• mysqld-nt.exe
• mysqld-opt.exe
• mysqld.exe
• ncsvc.exe
• ocautoupds.exe
• ocomm.exe
• ocssd.exe
• oracle.exe
• procexp.exe
• regedit.exe
• sqbcoreservice.exe
• sql.exe
• sqlagent.exe
• sqlbrowser.exe
• sqlserver.exe
• sqlservr.exe
• sqlwriter.exe
• synctime.exe
• taskkill.exe
• tbirdconfig.exe
• tomcat.exe
• tomcat6.exe
• u8.exe
• ufida.exe
• visio.exe
• xfssvccon.exe

Andere Details

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\Zeppelin

HKEY_CURRENT_USER\Software\Zeppelin\
Paths

HKEY_CURRENT_USER\Software\Zeppelin\
Log

Es macht Folgendes:

• It terminates itself if found to be running in a machine from the following countries:
  
  • Ukraine
  • Belorussia
  • Kazakhstan
  • Russian Federation