RANSOM_MIRCOP.A

Data de publicação: 24 de junho de 2016

Analisado por: Jennifer Gumban

Plataforma:

Windows

Classificao do risco total:

Potencial de dano:

Potencial de distribuição:

infecção relatada:

Exposição das informações:

Baixo

Medium

Alto

Crítico

Tipo de grayware:
Trojan
Destrutivo:
Não
Criptografado:
Sim
In the Wild:
Sim

Visão geral

Para obter uma visão rápida e abrangente do comportamento deste Trojan, consulte o Diagrama de Ameaças abaixo.

Ele chega como um anexo de mensagem de spam enviada por outro malware/grayware/spyware ou usuários mal-intencionados.

Ele rouba determinadas informações do sistema e/ou do usuário.

Detalhes técnicos

Tipo de compactação: 1,363,285 bytes

Tipo de arquivo: EXE

Residente na memória: Sim

Data de recebimento das amostras iniciais: 22 de junho de 2016

Carga útil: Connects to URLs/IPs, Steals information, Encrypts files, Displays message/message boxes

Detalhes da chegada

Ele chega como um anexo de mensagem de spam enviada por outro malware/grayware/spyware ou usuários mal-intencionados.

Instalao

Deixa os seguintes arquivos/componentes:

%User Startup%\MicroCop.lnk
%User Temp%\PassW8.txt
%User Temp%\Sqlite.dll
%User Temp%\c.exe - steals information
%User Temp%\wl.jpg - wallpaper
%User Temp%\x.exe - encrypts files
%User Temp%\y.exe - encrypts files

(Observação: %User Startup% é a pasta de inicialização do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}\Start Menu\Programs\Startup, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}\Start Menu\Programs\Startup, no Windows NT; e C:\Documents and Settings\{nome do usuário}\Start Menu\Programs\Startup.. %User Temp% é a pasta temporária do usuário atual, que geralmente é C:\Documents and Settings\{nome do usuário}\Local Settings\Temp no Windows 2000, XP e Server 2003.)

Outras modificaes no sistema

Ele adiciona as seguintes entradas de registro:

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%User Temp%\wl.jpg"

Roubo de informaes

Ele rouba estas informações:

Filezilla
Windows Mail
Mozilla Firefox
Google Chrome
Opera
Filezilla
Skype

Outros detalhes

Ele criptografa arquivos com as extensões a seguir:

.386
.a
.accda
.accdb
.accdc
.accde
.accdr
.accdt
.accdu
.acl
.ade
.adn
.adp
.ai
.aif
.aifc
.aiff
.ani
.ans
.api
.aps
.art
.asa
.asc
.ascx
.asf
.asm
.asmx
.asp
.aspx
.asx
.au
.avi
.aw
.bas
.bat
.bcp
.bin
.bkf
.blg
.bmp
.bsc
.btapp
.btkey
.btskin
.c
.cab
.camp
.cat
.cc
.cda
.cdmp
.cdx
.cer
.cgm
.chk
.chm
.cls
.cmd
.cod
.com
.config
.cpl
.cpp
.crd
.crds
.crl
.crt
.crtx
.cs
.csa
.csproj
.css
.csv
.cur
.cxx
.dat
.db
.dbg
.dbs
.dcr
.dct
.def
.der
.det
.dib
.dic
.dir
.disco
.diz
.dll
.dl_
.doc
.docm
.docx
.docxml
.dos
.dot
.dotm
.dotx
.dqy
.drv
.dsn
.dsp
.dsw
.dtd
.dwfx
.dxr
.easmx
.edrwx
.elm
.emf
.epf
.eprtx
.eps
.etp
.evt
.evtx
.exc
.exp
.ext
.ex_
.eyb
.fad
.faq
.fav
.fdf
.fdm
.fif
.fky
.fnd
.fnt
.fon
.gadget
.gcsx
.gfs
.ghi
.gif
.glk
.glox
.gmmp
.gqsx
.gra
.group
.grp
.grv
.gsa
.gta
.gz
.h
.H1C
.H1D
.H1F
.H1H
.H1K
.H1Q
.H1S
.H1T
.H1V
.H1W
.hdp
.hhc
.hlp
.hol
.hpp
.hqx
.hta
.htc
.htm
.html
.htt
.htw
.htx
.hxa
.hxc
.hxd
.hxe
.hxf
.hxh
.hxi
.hxk
.hxq
.hxr
.hxs
.hxt
.hxv
.hxw
.hxx
.i
.ibc
.ibq
.icc
.icl
.icm
.ico
.ics
.idl
.idq
.ilk
.imc
.img
.inc
.inf
.ini
.inl
.inv
.inx
.in_
.iqy
.iso
.IVF
.jar
.jav
.java
.jbf
.jfif
.jnlp
.jnt
.Job
.jod
.jpe
.jpeg
.jpg
.js
.JSE
.jtp
.jtx
.kci
.label
.laccdb
.latex
.ldb
.lex
.lgn
.lib
.lnk
.local
.log
.lst
.m14
.m1v
.m3u
.m4a
.mad
.maf
.mag
.mak
.mam
.man
.maq
.mar
.mas
.mat
.mau
.mav
.maw
.mda
.mdb
.mde
.mdn
.mdt
.mdw
.mgc
.mht
.mhtml
.mid
.midi
.mig
.mk
.mlc
.mmf
.mml
.mmw
.mov
.movie
.mp2
.mp2v
.mp3
.mpa
.mpe
.mpeg
.mpf
.mpg
.mpv2
.msc
.msg
.msi
.msp
.msu
.mv
.mydocs
.ncb
.nfo
.nick
.nk2
.nls
.nvr
.obj
.ocx
.oc_
.odc
.odh
.odl
.odt
.ofs
.oft
.ols
.one
.onepkg
.onetoc
.opc
.oqy
.osdx
.ost
.otf
.otm
.p10
.p12
.p7b
.p7c
.p7m
.p7r
.p7s
.pab
.pbk
.pcb
.pch
.pdb
.pdf
.pdfxml
.pds
.pdx
.pfm
.pfx
.php3
.pic
.pif
.pip
.pko
.pl
.plg
.pls
.pma
.pmc
.pml
.pmr
.pnf
.png
.pot
.potm
.potx
.ppa
.ppam
.pps
.ppsm
.ppsx
.ppt
.pptm
.pptx
.pptxml
.prc
.prf
.ps
.ps1
.ps1xml
.psc1
.psd
.psd1
.psm1
.pst
.pub
.pwz
.py
.pyc
.pyo
.pys
.pyw
.qds
.rat
.rc
.rc2
.rct
.RDP
.reg
.rels
.res
.rgs
.rle
.rll
.rmi
.rpc
.rqy
.rsp
.rtf
.rul
.rwz
.s
.sbr
.sc2
.scc
.scd
.scf
.sch
.scp
.scr
.sct
.sdl
.sed
.shtm
.shtml
.sit
.sldm
.sldx
.slk
.snd
.sol
.sor
.spc
.sql
.srf
.sr_
.sst
.stl
.stm
.swf
.sym
.sys
.sy_
.tab
.tar
.tdl
.text
.tgz
.theme
.thmx
.tif
.tiff
.tlb
.tlh
.tli
.trg
.tsp
.tsv
.ttc
.ttf
.txt
.udf
.UDL
.udt
.URL
.user
.usr
.uxdc
.vb
.VBE
.vbproj
.vbs
.vbx
.vcf
.vcg
.vcproj
.vcs
.vdx
.viw
.vsd
.vspscc
.vss
.vsscc
.vssscc
.vst
.vsx
.vtx
.vxd
.wab
.wav
.wax
.wbcat
.wbk
.wcx
.wdp
.webp
.webpnp
.wiz
.wll
.wlt
.wm
.wma
.wmf
.wmp
.wmv
.wmx
.wmz
.wpl
.wps
.wpt
.wri
.wsc
.wsdl
.WSF
.WSH
.wsz
.wtf
.wtx
.wvx
.x
.xaml
.xbap
.xdp
.xdr
.xfdf
.xht
.xhtml
.xix
.xla
.xlam
.xlb
.xlc
.xlk
.xll
.xlm
.xls
.xlsb
.xlsm
.xlsx
.xlt
.xltm
.xltx
.xlw
.xlxml
.xml
.xps
.xrm-ms
.xsd
.xsf
.xsl
.xslt
.xsn
.xst
.xtp
.z
.z96
.zip

Ele renomeia arquivos criptografados usando os seguintes nomes:

Lock.{original filename and extension}

Solução

Mecanismo de varredura mínima: 9.800

Primeiro arquivo padrão VSAPI: 12.608.05

Data do lançamento do primeiro padrão VSAPI: 23 de junho de 2016

VSAPI OPR Pattern Version: 12.609.00

VSAPI OPR Pattern veröffentlicht am: 24 de junho de 2016

Step 1

Para os usuários do Windows ME e XP, antes de realizar qualquer varredura, verifique se você desabilitou a Restauração do Sistema para permitir a varredura completa do computador.

Step 3

Exclua esse valor do registro

[ Saber mais ]

Importante: Editar o Registro do Windows de maneira incorreta pode causar danos irreversíveis ao sistema. Realize esta etapa apenas se você tiver conhecimento ou tiver como pedir ajuda ao administrador do seu sistema. Ou então, verifique primeiro este artigo da Microsoft antes de modificar o registro do seu computador.

In HKEY_CURRENT_USER\Control Panel\Desktop
- Wallpaper = "%User Temp%\wl.jpg"

Step 4

Faça uma varredura em seu computador com o produto Trend Micro para excluir os arquivos detectados como RANSOM_MIRCOP.A Se os arquivos detectados já tiverem sido limpos, excluídos ou colocados em quarentena pelo seu produto da Trend Micro, nada mais é necessário. Você pode optar por simplesmente excluir os arquivos em quarentena. Para obter mais informações, verifique a página da Base de Conhecimento.

Participe da nossa pesquisa!

Entradas de blog relacionadas

MIRCOP Crypto-Ransomware Channels Guy Fawkes, Claims To Be The Victim Instead