Analisado por: Joshua John Bantayan   

 

Ransom:Win32/BabukLocker.MK!MTB (MICROSOFT); Trojan-Ransom.FileCrypter (IKARUS)

 Plataforma:

Windows

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Ransomware

  • Destrutivo:
    Não

  • Criptografado:
    Não

  • In the Wild:
    Sim

  Visão geral

Canal de infecção: Baixados da Internet

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

  Detalhes técnicos

Tipo de compactação: 39,424 bytes
Tipo de arquivo: EXE
Residente na memória: Não
Data de recebimento das amostras iniciais: 15 de enero de 2021
Carga útil: Displays message/message boxes, Encrypts files, Terminates processes

Detalhes da chegada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalao

Ele adiciona os seguintes processos:

  • /c vssadmin.exe delete shadows /all /quiet

Ele adiciona as seguintes exclusões mútuas para garantir que apenas uma de suas cópias execute a qualquer momento:

  • babuk_v3

Encerramento de processo

Ele encerra os seguintes serviços, se encontrados no sistema infectado:

  • AcronisAgent
  • AcrSch2Svc
  • backup
  • BackupExecAgentAccelerator
  • BackupExecAgentBrowser
  • BackupExecDiveciMediaService
  • BackupExecJobEngine
  • BackupExecManagementService
  • BackupExecRPCService
  • BackupExecVSSProvider
  • CAARCUpdateSvc
  • CASAD2DWebSvc
  • ccEvtMgr
  • ccSetMgr
  • DefWatch
  • GxBlr
  • GxCIMgr
  • GxCVD
  • GxFWD
  • GxVss
  • Intuit.QuickBooks.FCS
  • mepocs
  • PDVFSService
  • QBCFMonitorService
  • QBFCService
  • QBIDPService
  • RTVscan
  • SavRoam
  • sophos
  • sophos
  • stc_raw_agent
  • veeam
  • veeam
  • VeeamDeploymentService
  • VeeamNFSSvc
  • VeeamTransportSvc
  • VSNAPVSS
  • YooBackup
  • YooIT
  • zhudongfangyu

Ele encerra processos ou serviços que contenham qualquer uma das seguintes strings, se encontrados executando na memória do sistema infectado:

  • agntsvc.exe
  • dbeng50.exe
  • dbsnmp.exe
  • encsvc.exe
  • excel.exe
  • firefox.exe
  • infopath.exe
  • isqlplussvc.exe
  • msaccess.exe
  • mspub.exe
  • mydesktopqos.exe
  • mydesktopservice.exe
  • notepad.exe
  • ocautoupds.exe
  • ocomm.exe
  • ocssd.exe
  • onenote.exe
  • oracle.exe
  • outlook.exe
  • powerpnt.exe
  • sqbcoreservice.exe
  • sql.exe
  • steam.exe
  • synctime.exe
  • tbirdconfig.exe
  • thebat.exe
  • thunderbird.exe
  • visio.exe
  • winword.exe
  • wordpad.exe
  • xfssvccon.exe

Outros detalhes

Faz o seguinte:

  • Empties Recycle Bin Contents.
  • Uses Windows Restart Manager to unlock files it will encrypt.
  • Encrypts all fixed and removable drives.
  • It encrypts files from network shares.

  Solução

Mecanismo de varredura mínima: 9.800
Primeiro arquivo padrão VSAPI: 16.502.04
Data do lançamento do primeiro padrão VSAPI: 27 de enero de 2021
VSAPI OPR Pattern Version: 16.503.00
VSAPI OPR Pattern veröffentlicht am: 28 de enero de 2021

Step 2

Para os usuários do Windows ME e XP, antes de realizar qualquer varredura, verifique se você desabilitou a Restauração do Sistema para permitir a varredura completa do computador.

Step 3

Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.

Step 4

Pesquise e exclua esses arquivos

[ Saber mais ]
Pode ser que alguns arquivos de componente estejam ocultos. Verifique se a caixa de seleção Pesquisar pastas e arquivos ocultos em "Mais opções avançadas" está marcada para incluir todas as pastas e arquivos ocultos no resultado da pesquisa.
  • {encrypted directory}\How To Restore Your Files.txt
DATA_GENERIC_FILENAME_1
  • Na lista suspensa Procurar em, selecione Meu Computador e pressione a tecla Enter.
  • Uma vez localizado, selecione o arquivo e pressione SHIFT+DELETE para excluí-lo permanentemente.
  • Repita as etapas de 2 a 4 para os arquivos restantes:
      • {encrypted directory}\How To Restore Your Files.txt
  • Step 5

    Restore encrypted files from backup.


    Participe da nossa pesquisa!