Analizzato da: Francis Xavier Antazo   
 

Ransom:MSIL/Ryzerlo.A (Microsoft); a variant of MSIL/Filecoder.Y (ESET);

 Piattaforma:

Windows

 Valutazione del rischio complessivo:
 Potenziale dannoso: :
 Potenziale di distribuzione: :
 Reported Infection:
 Informazioni esposizione: :
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    Trojan

  • Distruttivo?:
    No

  • Crittografato?:
    No

  • In the wild::
    ³§¨¬

  Panoramica e descrizione

Canale infezione: Descargado de Internet, Se propaga v¨ªa unidades extra¨ªbles, Se propaga v¨ªa redes compartidas

Para obtener una visi¨®n integral del comportamiento de este Trojan, consulte el diagrama de amenazas que se muestra a continuaci¨®n.

Infiltra un archivo AUTORUN.INF para que ejecute autom¨¢ticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Se conecta a determinados sitios Web para enviar y recibir informaci¨®n.

  Dettagli tecnici

Dimensione file: 638,464 bytes
Tipo di file: EXE
Residente in memoria: ³§¨¬
Data di ricezione campioni iniziali: 13 agosto 2016
Carica distruttiva: Connects to URLs/IPs, Encrypts files, , Terminates processes

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Infiltra los archivos siguientes:

  • C:\Users\{username}\Desktop\??? ???.txt -> ransom note
  • C:\Users\{username}\Desktop\pk -> key
  • %User Startup%\{random characters}.exe -> (to be detected as Ransom_POGOTEAR.A)

(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Men¨² Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Men¨² Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Men¨² Inicio\Programas\Inicio).

)

Deja archivos de texto a modo de notas de rescate que contienen lo siguiente:

  • (: ??? ?? ????? ???????? ??? ?????? ????? ??????? ??????? ?????? me.{BLOCKED}20152015@mt2015.com ????? ??? ????? ?????

T¨¦cnica de inicio autom¨¢tico

Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
PokemonGo = "{Malware file path and file name}"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
SpecialAccounts\UserList
Hack3r = "0"

±Ê°ù´Ç±è²¹²µ²¹³¦¾±¨®²Ô

Infiltra copias de s¨ª mismo en las unidades siguientes:

  • {Destination Root*}\PokemonGo.exe
    • All fixed drives, removable drives, shared folders and mapped network drives

Infiltra un archivo AUTORUN.INF para que ejecute autom¨¢ticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Finalizaci¨®n del proceso

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

  • ³§²Ñ¦¤¸é°Õ±Ê

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir informaci¨®n:

  • http://{BLOCKED}.{BLOCKED}.0.169/PokemonGo/write.php?info={computername}-{username} {key}<br>

Cifra los archivos con las extensiones siguientes:

  • .txt
  • .rtf
  • .doc
  • .pdf
  • .mht
  • .docx
  • .xls
  • .xlsx
  • .ppt
  • .pptx
  • .odt
  • .jpg
  • .png
  • .csv
  • .sql
  • .mdb
  • .sln
  • .php
  • .asp
  • .aspx
  • .html
  • .xml
  • .psd
  • .htm
  • .gif
  • .png

Sustituye los nombres de los archivos cifrados por los nombres siguientes:

  • {original file name and file extension}.locked

  Soluzioni

Motore di scansione minimo: 9.800
Primo file di pattern VSAPI: 12.716.04
Data di pubblicazione del primo pattern VSAPI: 15 agosto 2016
Versione pattern VSAPI OPR: 12.717.00
Data di pubblicazione del pattern VSAPI OPR: 16 agosto 2016

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 3

Explorar el equipo con su producto de live casino online para eliminar los archivos detectados como RANSOM_POGOTEAR.A En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.

Step 4

Reiniciar en modo seguro

[ learnMore ]

Step 5

Buscar y eliminar este archivo

[ learnMore ]
Puede que algunos de los archivos del componente est¨¦n ocultos. Aseg¨²rese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opci¨®n M¨¢s opciones avanzadas para que el resultado de la b¨²squeda incluya todos los archivos y carpetas ocultos. ?
  • C:\Users\{username}\Desktop\??? ???.txt
  • C:\Users\{username}\Desktop\pk

Step 6

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • PokemonGo = "{Malware file path and file name}"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList
    • Hack3r = "0"

Step 7

Buscar y eliminar los archivos de AUTORUN.INF creados por RANSOM_POGOTEAR.A que contienen las siguientes cadenas

[ learnMore ]
  • [AutoRun]
  • OPEN=PokemonGo.exe
  • ICON=PokemonGo.exe

Step 8

Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como RANSOM_POGOTEAR.A En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.


Sondaggio