Analisado por: Byron Jon Gelera   

 

Ransom:Win32/Pocrimcrypt.A (Microsoft); Trojan-Ransom.Win32.Autoit.lc (Kaspersky); Win32/Filecoder.NGX(ESET-NOD32)

 Plataforma:

Windows

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Trojan

  • Destrutivo:
    Não

  • Criptografado:
    Não

  • In the Wild:
    Sim

  Visão geral

Canal de infecção: Baixados da Internet

Para obter uma visão rápida e abrangente do comportamento deste Trojan, consulte o Diagrama de Ameaças abaixo.

  Detalhes técnicos

Tipo de compactação: 858,398 bytes
Tipo de arquivo: EXE
Residente na memória: Sim
Data de recebimento das amostras iniciais: 22 de setembro de 2016
Carga útil: Displays message/message boxes, Encrypts files

Outras modificaes no sistema

Ele adiciona as seguintes entradas de registro:

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %User Temp%\wl.jpg

Define o papel de parede a área de trabalho do sistema como a seguinte imagem:

Outros detalhes

Ele renomeia arquivos criptografados usando os seguintes nomes:

  • Lock.{original filename and extension}

  Solução

Mecanismo de varredura mínima: 9.800
Primeiro arquivo padrão VSAPI: 12.790.08
Data do lançamento do primeiro padrão VSAPI: 21 de setembro de 2016
VSAPI OPR Pattern Version: 12.791.00
VSAPI OPR Pattern veröffentlicht am: 22 de setembro de 2016

Step 1

Para os usuários do Windows ME e XP, antes de realizar qualquer varredura, verifique se você desabilitou a Restauração do Sistema para permitir a varredura completa do computador.

Step 3

Exclua esse valor do registro

[ Saber mais ]

Importante: Editar o Registro do Windows de maneira incorreta pode causar danos irreversíveis ao sistema. Realize esta etapa apenas se você tiver conhecimento ou tiver como pedir ajuda ao administrador do seu sistema. Ou então, verifique primeiro este artigo da Microsoft antes de modificar o registro do seu computador.

 
  • In HKEY_CURRENT_USER\Control Panel\Desktop
    • Wallpaper = "%User Temp%\wl.jpg"

Step 4

Faça uma varredura em seu computador com o produto Trend Micro para excluir os arquivos detectados como RANSOM_MIRCOP.F116IL Se os arquivos detectados já tiverem sido limpos, excluídos ou colocados em quarentena pelo seu produto da Trend Micro, nada mais é necessário. Você pode optar por simplesmente excluir os arquivos em quarentena. Para obter mais informações, verifique a página da Base de Conhecimento.


Participe da nossa pesquisa!