Author: Francis Xavier Antazo   
 

Ransom:Win32/Tescrypt!rfn (Microsoft); Win32/Filecoder.TeslaCrypt.I trojan (ESET); Trojan horse FileCryptor.IAA (AVG);

 PLATFORM:

Windows

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Trojan

  • Destructiveness:
    No

  • Encrypted:
    Yes

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Descargado de Internet

Este malware modifica la configuraci¨®n de zona de Internet Explorer.

Se conecta a determinados sitios Web para enviar y recibir informaci¨®n.

  TECHNICAL DETAILS

File size: 376,832 bytes
File type: EXE
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 04 marca 2016
PAYLOAD: Connects to URLs/IPs, Encrypts files, Displays message/message boxes, Terminates processes

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Crea las siguientes copias de s¨ª mismo en el sistema afectado y las ejecuta:

  • %Windows%\{random filename}.exe

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Este malware infiltra el/los siguiente(s) archivo(s):

  • {folders containing encrypted files}\_ReCoVeRy_+{random}.png - ransom note
  • {folders containing encrypted files}\_ReCoVeRy_+{random}.html - ransom note
  • {folders containing encrypted files}\_ReCoVeRy_+{random}.txt - ransom note
  • %My Documents%\_ReCoVeRy_+{random}.html - ransom note
  • %My Documents%\_ReCoVeRy_+{random}.txt - ransom note
  • %My Documents%\recover_file_{random}.txt - ransom note

    (Note: %My Documents% is usually C:\Documents and Settings\{user name}\My Documents on Windows 2000, XP, and Server 2003, or C:\Users\{user name}\Documents on Windows Vista and 7.)

T¨¦cnica de inicio autom¨¢tico

Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "C:\Windows\system32\CMD.EXE /c start %Windows%\{random filename}.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalaci¨®n:

HKEY_CURRENT_USER\Software\zzzsys

HKEY_CURRENT_USER\Software\{ID}

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\zzzsys
ID = "{ID}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLinkedConnections = "1"

Modifica las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyServer = "http=127.0.0.1:8888;https=127.0.0.1:8888;"

(Note: The default value data of the said registry entry is {user-defined}.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyOverride = "<-loopback>"

(Note: The default value data of the said registry entry is {user-defined}.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyEnable = "1"

(Note: The default value data of the said registry entry is {user-defined}.)

Modificaci¨®n de la p¨¢gina de inicio y de la p¨¢gina de b¨²squeda del explorador Web

Este malware modifica la configuraci¨®n de zona de Internet Explorer.

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir informaci¨®n:

  • http://{BLOCKED}tecnicos.com/media/editors/wstr.php
  • http://{BLOCKED}ctivo.com/wstr.php
  • http://{BLOCKED}rnal.com/pmtsys/fonts/wstr.php
  • http://{BLOCKED}yeli.com/wstr.php
  • http://{BLOCKED}online.com/wstr.php
  • http://{BLOCKED}turemediablog.com/wp-includes/fonts/wstr.php

Cifra los archivos con las extensiones siguientes:

  • .7z
  • .accdb
  • .apk
  • .arch00
  • .asset
  • .avi
  • .bak
  • .bar
  • .bc6
  • .bc7
  • .big
  • .bik
  • .bkf
  • .bkp
  • .blob
  • .bsa
  • .cas
  • .cfr
  • .css
  • .csv
  • .d3dbsp
  • .das
  • .dazip
  • .db0
  • .dba
  • .desc
  • .dmp
  • .docm
  • .dwg
  • .dxg
  • .epk
  • .erf
  • .esm
  • .ff
  • .flv
  • .forge
  • .fos
  • .fpk
  • .fsh
  • .gdb
  • .gho
  • .hkdb
  • .hkx
  • .hplg
  • .hvpl
  • .ibank
  • .icxs
  • .itdb
  • .itl
  • .itm
  • .itm
  • .iwd
  • .iwi
  • .jpeg
  • .js
  • .kdb
  • .kf
  • .layout
  • .lbf
  • .litemod
  • .litesql
  • .lrf
  • .ltx
  • .lvl
  • .m2
  • .m3u
  • .m4a
  • .map
  • .mcmeta
  • .mdb
  • .mdbackup
  • .mddata
  • .menu
  • .mlx
  • .mov
  • .mp4
  • .mpqge
  • .ncf
  • .ntl
  • .p12
  • .p7b
  • .p7c
  • .pak
  • .pfx
  • .pkpass
  • .png
  • .ppt
  • .pptm
  • .pptx
  • .psk
  • .pst
  • .py
  • .qdf
  • .qic
  • .raf
  • .rar
  • .rb
  • .re4
  • .rgss3a
  • .rim
  • .rofl
  • .rtf
  • .sav
  • .sb
  • .sb
  • .sid
  • .sidd
  • .sidn
  • .sie
  • .sis
  • .slm
  • .snx
  • .sql
  • .sum
  • .svg
  • .syncdb
  • .t12
  • .t13
  • .tax
  • .tiff
  • .tor
  • .txt
  • .upk
  • .vcf
  • .vdf
  • .vfs0
  • .vpk
  • .vpp_pc
  • .vtf
  • .w3x
  • .wb2
  • .wma
  • .wmo
  • .wmo
  • .wmv
  • .wpd
  • .wps
  • .xf
  • .xlk
  • .xls
  • .xlsb
  • .xlsm
  • .xlsx
  • .xxx
  • .zip
  • .ztmp

  SOLUTION

Minimum scan engine: 9.800

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 3

Explorar el equipo con su producto de live casino online y anotar los archivos detectados como RANSOM_CRYPTESLA.CBQ1635

Step 4

Reiniciar en modo seguro

[ learnMore ]

Step 5

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

?
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • {random} = "C:\Windows\system32\CMD.EXE /c start %Windows%\{random filename}.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • EnableLinkedConnections = "1"

Step 6

Eliminar esta clave del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_CURRENT_USER\Software
    • zzzsys
  • In HKEY_CURRENT_USER\Software
    • {ID}

Step 7

Restaurar este valor del Registro modificado

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    • From: ProxyEnable = "1"
      To: ProxyEnable = "{user-defined}"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    • From: ProxyServer = "http=127.0.0.1:8888;https=127.0.0.1:8888;"
      To: ProxyServer = "{user-defined}"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    • From: ProxyOverride = "<-loopback>"
      To: ProxyOverride = "{user-defined}"

Step 8

Buscar y eliminar estos archivos

[ learnMore ]
Puede que algunos de los archivos del componente est¨¦n ocultos. Aseg¨²rese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opci¨®n "M¨¢s opciones avanzadas" para que el resultado de la b¨²squeda incluya todos los archivos y carpetas ocultos.
  • _ReCoVeRy_+{random}.png
  • _ReCoVeRy_+{random}.html
  • _ReCoVeRy_+{random}.txt
  • recover_file_{random}.txt
DATA_GENERIC_FILENAME_1
  • En la lista desplegable Buscar en, seleccione Mi PC y pulse Intro.
  • Una vez haya encontrado el archivo, selecci¨®nelo y, a continuaci¨®n, pulse MAY?S+SUPR para eliminarlo definitivamente.
  • Repita los pasos 2 a 4 con el resto de archivos:
      • _ReCoVeRy_+{random}.png
      • _ReCoVeRy_+{random}.html
      • _ReCoVeRy_+{random}.txt
      • recover_file_{random}.txt

    • Step 9

    Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como RANSOM_CRYPTESLA.CBQ1635 En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.


    Did this description help? Tell us how we did.