Author: Ryan Paolo Maglaque   
 

Ransom.CryptXXX(Norton);Troj/Ransom-EHO(Sophos);W32/Filecoder_TorrentLocker.A!tr(Fortinet)

 PLATFORM:

Windows

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Trojan

  • Destructiveness:
    No

  • Encrypted:
    Yes

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Descargado de Internet, Eliminado por otro tipo de malware

Este malware modifica la configuraci¨®n de zona de Internet Explorer.

Se conecta a determinados sitios Web para enviar y recibir informaci¨®n.

  TECHNICAL DETAILS

File size: 366,065 bytes
File type: EXE
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 28 lutego 2017
PAYLOAD: Encrypts files, Connects to URLs/IPs, Displays message/message boxes

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Crea las siguientes copias de s¨ª mismo en el sistema afectado:

  • %Windows%\{Random Malware Filename}.exe

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Este malware infiltra el/los siguiente(s) archivo(s):

  • {Encrypted File Path}\HOW_TO_RESTORE_FILES.txt -> Ransom Note
  • {Encrypted File Path}\HOW_TO_RESTORE_FILES.html -> Ransom Note
  • %All Users Profile%\Application Data\uwupefovygigylih\{Random File Name}

Infiltra y ejecuta los archivos siguientes:

  • %Desktop%\HOW_TO_RESTORE_FILES.txt -> Ransom Note
  • %Desktop%\HOW_TO_RESTORE_FILES.html -> Ransom Note

(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).

)

Este malware infiltra los siguientes archivos no maliciosos:

  • %User Temp%\ns{Random}.tmp\nsDialogs.dll
  • %User Temp%\ns{Random}.tmp\System.dll
  • %Application Data%\purchases.dll
  • %Application Data%\PimpCodomain.Imqz
  • %Application Data%\icon_orders_active.png
  • %Application Data%\icon_switch_black_active.png

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Agrega los procesos siguientes:

  • explorer.exe

Crea las carpetas siguientes:

  • %All Users Profile%\Application Data\uwupefovygigylih
  • %User Temp%\ns{Random}.tmp

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Este malware inyecta c¨®digos en el/los siguiente(s) proceso(s):

  • Created explorer.exe

T¨¦cnica de inicio autom¨¢tico

Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random} = "%Windows%\{Random Malware Filename}.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalaci¨®n:

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows NT\CurrentVersion\
Windows Messaging Subsystem

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows NT\CurrentVersion\
Windows Messaging Subsystem\Profiles

Agrega las siguientes entradas de registro:

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\PhishingFilter
EnabledV8 = 0

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\PhishingFilter
EnabledV9 = 0

Modificaci¨®n de la p¨¢gina de inicio y de la p¨¢gina de b¨²squeda del explorador Web

Este malware modifica la configuraci¨®n de zona de Internet Explorer.

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir informaci¨®n:

  • http://{URL generated via domain generated algorithm}.{BLOCKED}er.org

Sustituye los nombres de los archivos cifrados por los nombres siguientes:

  • {Original Filename}.{6 Random Letters}

  SOLUTION

Minimum scan engine: 9.850
First VSAPI Pattern File: 13.248.07
First VSAPI Pattern Release Date: 28 lutego 2017
VSAPI OPR PATTERN-VERSION: 13.249.00
VSAPI OPR PATTERN DATE: 01 marca 2017

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 3

Reiniciar en modo seguro

[ learnMore ]

Step 4

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

?
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • {random} = "%Windows%\{Random Malware Filename}.exe"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\PhishingFilter
    • EnabledV8 = 0
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\PhishingFilter
    • EnabledV9 = 0

Step 5

Buscar y eliminar estas carpetas

[ learnMore ]
Aseg¨²rese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opci¨®n M¨¢s opciones avanzadas para que el resultado de la b¨²squeda incluya todas las carpetas ocultas.
  • %All Users Profile%\Application Data\uwupefovygigylih
  • %User Temp%\ns{random}.tmp

Step 6

Buscar y eliminar estos archivos

[ learnMore ]
Puede que algunos de los archivos del componente est¨¦n ocultos. Aseg¨²rese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opci¨®n "M¨¢s opciones avanzadas" para que el resultado de la b¨²squeda incluya todos los archivos y carpetas ocultos.
  • %Windows%\{Random Malware Filename}.exe
  • %User Temp%\ns{Random}.tmp\nsDialogs.dll
  • %User Temp%\ns{Random}.tmp\System.dll
  • %Application Data%\purchases.dll
  • %Application Data%\PimpCodomain.Imqz
  • %Application Data%\icon_orders_active.png
  • %Application Data%\icon_switch_black_active.png
  • %Desktop%\HOW_TO_RESTORE_FILES.html
  • %Desktop%\HOW_TO_RESTORE_FILES.txt
  • {Encrypted Files Directory}\HOW_TO_RESTORE_FILES.html
  • {Encrypted Files Direcrory}\HOW_TO_RESTORE_FILES.txt
DATA_GENERIC_FILENAME_1
  • En la lista desplegable Buscar en, seleccione Mi PC y pulse Intro.
  • Una vez haya encontrado el archivo, selecci¨®nelo y, a continuaci¨®n, pulse MAY?S+SUPR para eliminarlo definitivamente.
  • Repita los pasos 2 a 4 con el resto de archivos:
      • %Windows%\{Random Malware Filename}.exe
      • %User Temp%\ns{Random}.tmp\nsDialogs.dll
      • %User Temp%\ns{Random}.tmp\System.dll
      • %Application Data%\purchases.dll
      • %Application Data%\PimpCodomain.Imqz
      • %Application Data%\icon_orders_active.png
      • %Application Data%\icon_switch_black_active.png
      • %Desktop%\HOW_TO_RESTORE_FILES.html
      • %Desktop%\HOW_TO_RESTORE_FILES.txt
      • {Encrypted Files Directory}\HOW_TO_RESTORE_FILES.html
      • {Encrypted Files Direcrory}\HOW_TO_RESTORE_FILES.txt

    • Step 7

    Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como RANSOM_CRYPTLOCK.DLFLVS En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.

    Step 8

    Restablecer la configuraci¨®n de seguridad de Internet

    [ learnMore ]


    Did this description help? Tell us how we did.