RANSOM_CRYPSHED.JE
Ransom:Win32/Ranscrape (Microsoft)
Windows
Tipo di minaccia informatica:
Trojan
Distruttivo?:
No
Crittografato?:
厂ì
In the wild::
厂ì
Panoramica e descrizione
Se conecta a determinados sitios Web para enviar y recibir información.
Dettagli tecnici
滨苍蝉迟补濒补肠颈ó苍
Este malware infiltra una copia de sí mismo en las carpetas siguientes con diferentes nombres de archivo:
- %User Profile%\Windows\csrss.exe
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Client Server Runtime Subsystem = ""%User Profile%\Windows\csrss.exe""
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
xVersion = "4.0.0.1"
HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
xi = "{ID}"
HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
xVersion = "4.0.0.1"
HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
xmode = "622"
HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
xstate = "{state}"
HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
xcnt = "{encrypted files count}"
HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
shst = "2"
HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
xpk = "{Public Key}"
Este malware establece la imagen siguiente como fondo de escritorio del sistema:
Rutina de infiltración
Infiltra los archivos siguientes:
- %User Temp%\ns{random}.tmp
- %User Temp%\zMl.jpg
- %User Temp%\icon-close.svg
- %User Temp%\uCeqvRTo0SA7zrY2.OR
- %User Temp%\ns{random}.tmp\System.dll
- %User Profile%\System32\xfs-list of encrypted files
- {Drive Letter}:\README{number}.txt-serves as ransom note
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).)Otros detalles
Se conecta al sitio Web siguiente para enviar y recibir información:
- tor.{BLOCKED}m.com:443
- dannenberg.{BLOCKED}h.de:443
- polizei-erziehung.{BLOCKED}keil.de:9001
- tor.relay.{BLOCKED}ack.org:443
- buyvm-nyc-1.relay.tor.{BLOCKED}later.com:443
- net2.{BLOCKED}f.de:9001
- buyvm-nyc-1.relay.tor.{BLOCKED}later.com:443
- saturn.{BLOCKED}ro.ro:443
Cifra los archivos con las extensiones siguientes:
- .edml
- .raw
- .jpg
- .jpeg
- .jpe
- .bmp
- .png
- .tif
- .tiff
- .dib
- .gif
- .svg
- .svgz
- .rle
- .tga
- .vda
- .icb
- .wbm
- .wbmp
- .jpf
- .jpx
- .jp2
- .j2k
- .j2c
- .jpc
- .avi
- .mkv
- .mov
- .mp4
- .wmv
- .3gp
- .mpg
- .mpeg
- .m4v
- .divx
- .mpv
- .m1v
- .dat
- .anim
- .m4a
- .qt
- .3g2
- .f4v
- .mkidx
- .mka
- .avs
- .vdr
- .flv
- .bin
- .mp3
- .wav
- .asx
- .pls
- .zip
- .7z
- .rar
- .tar
- .gz
- .bz2
- .wim
- .xz
- .c
- .h
- .hpp
- .cpp
- .php
- .php3
- .php4
- .php5
- .py
- .pl
- .sln
- .js
- .json
- .inc
- .sql
- .java
- .class
- .ini
- .asm
- .clx
- .tbb
- .tbi
- .tbk
- .pst
- .dbx
- .cbf
- .crypted
- .tib
- .eml
- .fld
- .vbm
- .vbk
- .vib
- .vhd
- .mtr
- .vault
- .1cd
- .dt
- .cf
- .cfu
- .mxl
- .epf
- .vrp
- .grs
- .geo
- .elf
- .lgf
- .lgp
- .log
- .st
- .pff
- .mft
- .efd
- .md
- .dmp
- .fdb
- .lst
- .fbk
Sustituye los nombres de los archivos cifrados por los nombres siguientes:
- {Base 64}.{ID}.da_vinci_code
Este malware define los atributos del/de los siguiente(s) archivo(s) como Oculto y Sistema:
- %User Profile%\Windows\
- %User Profile%\System32\
- %User Profile%\System32\xfs
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)
Soluzioni
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 3
Eliminar esta clave del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
?- HKEY_LOCAL_MACHINE\SOFTWARE\System32\Configuration
Step 4
Buscar y eliminar este archivo
- %User Temp%\ns{random}.tmp
- %User Temp%\zMl.jpg
- %User Temp%\icon-close.svg
- %User Temp%\uCeqvRTo0SA7zrY2.OR
- %User Temp%\ns{random}.tmp\System.dll
- %User Profile%\System32\xfs
- {Drive Letter}:\README{number}.txt
Step 5
Explorar el equipo con su producto de live casino online para eliminar los archivos detectados como RANSOM_CRYPSHED.JE En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener más información.
Sondaggio