Author: Mohammed Malubay   
 Modified By:: Alyssa Christelle Ramos
 

Ransom:Win32/Avaddon.PA!MTB(MICROSOFT); Win32/Filecoder.Avaddon.A trojan(NOD32);

 PLATFORM:

Windows

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Ransomware

  • Destructiveness:
    No

  • Encrypted:
    Yes

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Descargado de Internet

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites. Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.

  TECHNICAL DETAILS

File size: 1,078,784 bytes
File type: EXE
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 09 czerwca 2020
PAYLOAD: Connects to URLs/IPs, Disables services, Encrypts files, Terminates processes

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Puede haberlo descargado el siguiente malware/grayware/spyware desde sitios remotos:

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Crea las siguientes copias de s¨ª mismo en el sistema afectado:

  • %Application Data%\{malware filename}.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).

)

Agrega los procesos siguientes:

  • wmic.exe SHADOWCOPY /nointeractive
  • wbadmin DELETE SYSTEMSTATEBACKUP
  • wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
  • bcdedit.exe /set {default} recoveryenabled No
  • bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
  • vssadmin.exe Delete Shadows /All /Quiet

T¨¦cnica de inicio autom¨¢tico

Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
update = %Application Data%\{malware filename}.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
update = %Application Data%\{malware filename}.exe

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0000
Owner = {HEX VALUES}

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0000
SessionHash = {HEX VALUES}

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0000
Sequence = {VALUE}

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0000
RegFiles0000 = {Target File Name}

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0000
RegFilesHash = {Hex Values}

Agrega las siguientes entradas de registro como parte de la rutina de instalaci¨®n:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLinkedConnections = 1

(Note: The default value data of the said registry entry is None.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
ConsentPromptBehaviorAdmin = 0

(Note: The default value data of the said registry entry is 5.)

Cambia el fondo de escritorio mediante la modificaci¨®n de las siguientes entradas de registro:

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %User Profile%\bckgrd.bmp

Este malware establece la imagen siguiente como fondo de escritorio del sistema:

Finalizaci¨®n del proceso

Finaliza los servicios siguientes si los detecta en el sistema afectado:

  • ccEvtMgr
  • ccSetMgr
  • Culserver
  • dbeng8
  • dbsrv12
  • DefWatch
  • Intuit.QuickBooks.FCS
  • msmdsrv
  • QBCFMonitorService
  • QBIDPService
  • RTVscan
  • sqladhlp
  • SQLADHLP
  • sqlagent
  • sqlbrowser
  • sqlservr
  • sqlwriter
  • tomcat6
  • VMAuthdService
  • VMnetDHCP
  • VMUSBArbService
  • vmware-converter
  • VMwareHostd
  • vmware-usbarbitator64

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

  • 360doctor.exe
  • 360se.exe
  • axlbridge.exe
  • BCFMonitorService.exe
  • Culture.exe
  • Defwatch.exe
  • fdhost.exe
  • fdlauncher.exe
  • GDscan.exe
  • httpd.exe
  • java.exe
  • MsDtSrvr.exe
  • QBDBMgr.exe
  • QBIDPService.exe
  • QBIDPService.exe
  • qbupdate.exe
  • QBW32.exe
  • RAgui.exe
  • RTVscan.exe
  • sqlbrowser.exe
  • sqlservr.exe
  • supervise.exe
  • tomcat6.exe
  • wdswfsafe.exe
  • winword.exe
  • wxServer.exe
  • wxServerView.exe

Otros detalles

Agrega las siguientes entradas de registro como parte de la rutina de instalaci¨®n:

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0000

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0001

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0002

Hace lo siguiente:

  • Terminates itself if Windows Locale ID is equal to the following:
    • 419 = Russian
    • 422 = Ukrainian
  • Terminates itself if machine is set to the following keyboard layout language:
    • 419 = Russian
    • 485 = Yakut(Russia)
    • 444 = Tatar
    • 422 = Ukrainian
  • This ransomware affects all existing drives in the system

  SOLUTION

Minimum scan engine: 9.850
First VSAPI Pattern File: 15.924.02
First VSAPI Pattern Release Date: 11 czerwca 2020
VSAPI OPR PATTERN-VERSION: 15.925.00
VSAPI OPR PATTERN DATE: 12 czerwca 2020

Step 2

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 3

Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.

Step 4

Reiniciar en modo seguro

[ learnMore ]

Step 5

Eliminar esta clave del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_CURRENT_USER\Software\Microsoft
    • RestartManager\Session0000
  • In HKEY_CURRENT_USER\Software\Microsoft
    • RestartManager\Session0001
  • In HKEY_CURRENT_USER\Software\Microsoft
    • RestartManager\Session0002

Step 6

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • EnableLinkedConnections = 1
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • update = %Application Data%\{malware filename}.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • update = %Application Data%\{malware filename}.exe

Step 7

Restaurar este valor del Registro modificado

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • From: EnableLUA = 0
      To: EnableLUA = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • From: ConsentPromptBehaviorAdmin = 0
      To: ConsentPromptBehaviorAdmin = 5

Step 8

Buscar y eliminar estos archivos

[ learnMore ]
Puede que algunos de los archivos del componente est¨¦n ocultos. Aseg¨²rese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opci¨®n "M¨¢s opciones avanzadas" para que el resultado de la b¨²squeda incluya todos los archivos y carpetas ocultos.
  • %Application Data%\{malware filename}.exe
  • {Encrypted Directory}\{random numbers}-readme.html
 DATA_GENERIC_FILENAME_1
  • En la lista desplegable Buscar en, seleccione Mi PC y pulse Intro.
  • Una vez haya encontrado el archivo, selecci¨®nelo y, a continuaci¨®n, pulse MAY?S+SUPR para eliminarlo definitivamente.
  • Repita los pasos 2 a 4 con el resto de archivos:
      • %Application Data%\{malware filename}.exe
      • {Encrypted Directory}\{random numbers}-readme.html

    • Step 9

    Deleting Scheduled Tasks

    The following {Task Name} - {Task to be run} listed should be used in the steps identified below: ?

    • update = %Application Data%\{Malware filename}.exe

    For Windows 2000, Windows XP, and Windows Server 2003:

    1. Open the Windows Scheduled Tasks. Click Start>Programs>Accessories>
      System Tools>Scheduled Tasks.
    2. Locate each {Task Name} values listed above in the Name column.
    3. Right-click on the said file(s) with the aforementioned value.
    4. Click on Properties. In the Run field, check for the listed {Task to be run}.
    5. If the strings match the list above, delete the task.

    For Windows Vista, Windows 7, Windows Server 2008, Windows 8, Windows 8.1, and Windows Server 2012:

    1. Open the Windows Task Scheduler. To do this:
      • On Windows Vista, Windows 7, and Windows Server 2008, click Start, type taskschd.msc in the Search input field, then press Enter.
      • On Windows 8, Windows 8.1, and Windows Server 2012, right-click on the lower left corner of the screen, click Run, type taskschd.msc, then press Enter.
    2. In the left panel, click Task Scheduler Library.
    3. In the upper-middle panel, locate each {Task Name} values listed above in the Name column.
    4. In the lower-middle panel, click the Actions tab. In the Details column, check for the {Task to be run} string.
    5. If the said string is found, delete the task.

    Step 10

    Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como Ransom.Win32.AVADDON.YJAF-A En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.

    Step 13

    Restore encrypted files from backup.


    Did this description help? Tell us how we did.