Analisado por: Jennifer Gumban   
 Plataforma:

Windows

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Others

  • Destrutivo:
    Não

  • Criptografado:
    Sim

  • In the Wild:
    Sim

  Visão geral

Canal de infecção: Eliminado por otro tipo de malware, Descargado de Internet

Recopila determinada información del equipo afectado.

  Detalhes técnicos

Tipo de compactação: 147,456 bytes
Tipo de arquivo: EXE
Residente na memória: Sim
Data de recebimento das amostras iniciais: 23 de março de 2016
Carga útil: Encrypts files, Steals information

Instalación

Este malware infiltra el/los siguiente(s) archivo(s):

  • %Desktop%\DECRYPTION_HOWTO.Notepad - ransomnote.
  • %Desktop%\surprise.bat - removes Shadow Volume Copies when executed.
  • %Desktop%\Encrypted_Files.Notepad - list of encrypted files

(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).

)

Deja archivos de texto a modo de notas de rescate que contienen lo siguiente:

  • What happened to your files ?
    All of your files were protected by a strong encryption.
    There is no way to decrypt your files without the key.
    If your files notimportant for you just reinstall your system.
    If your files is important just email us to discuss the price and how to decrypt your files.
    You can email us tonowayout@{BLOCKED}mail.com and nowayout@{BLOCKED}t.org
    Write your Email to both email addresses PLS
    We accept just BITCOIN if you dont know what it is just google it.
    We will give instructions where and how you buy bitcoin in your country.
    Price depends on how important your files and network is.it could be 0.5 bitcoin to 25 bitcoin.
    You can send us a 1 encrypted file for decryption.
    Feel free to email us with your country and computer name and username of the infected system.

Otras modificaciones del sistema

Modifica los archivos siguientes:

  • It renames encrypted files by adding ".surprise"

Robo de información

Recopila la siguiente información del equipo afectado:

  • Machine Name
  • User Name

Información sustraída

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

  • http://{BLOCKED}udio.duckdns.org/pull.php

Otros detalles

Cifra los archivos con las extensiones siguientes:

  • .asf
  • .pdf
  • .xls
  • .docx
  • .xlsx
  • .mp3
  • .waw
  • .jpg
  • .jpeg
  • .txt
  • .rtf
  • .doc
  • .rar
  • .zip
  • .psd
  • .tif
  • .wma
  • .gif
  • .bmp
  • .ppt
  • .pptx
  • .docm
  • .xlsm
  • .pps
  • .ppsx
  • .ppd
  • .eps
  • .png
  • .ace
  • .djvu
  • .tar
  • .cdr
  • .max
  • .wmv
  • .avi
  • .wav
  • .mp4
  • .pdd
  • .php
  • .aac
  • .ac3
  • .amf
  • .amr
  • .dwg
  • .dxf
  • .accdb
  • .mod
  • .tax2013
  • .tax2014
  • .oga
  • .ogg
  • .pbf
  • .ra
  • .raw
  • .saf
  • .val
  • .wave
  • .wow
  • .wpk
  • .3g2
  • .3gp
  • .3gp2
  • .3mm
  • .amx
  • .avs
  • .bik
  • .dir
  • .divx
  • .dvx
  • .evo
  • .flv
  • .qtq
  • .tch
  • .rts
  • .rum
  • .rv
  • .scn
  • .srt
  • .stx
  • .svi
  • .swf
  • .trp
  • .vdo
  • .wm
  • .wmd
  • .wmmp
  • .wmx
  • .wvx
  • .xvid
  • .3d
  • .3d4
  • .3df8
  • .pbs
  • .adi
  • .ais
  • .amu
  • .arr
  • .bmc
  • .bmf
  • .cag
  • .cam
  • .dng
  • .ink
  • .jif
  • .jiff
  • .jpc
  • .jpf
  • .jpw
  • .mag
  • .mic
  • .mip
  • .msp
  • .nav
  • .ncd
  • .odc
  • .odi
  • .opf
  • .qif
  • .xwd
  • .abw
  • .act
  • .adt
  • .aim
  • .ans
  • .asc
  • .ase
  • .bdp
  • .bdr
  • .bib
  • .boc
  • .crd
  • .diz
  • .dot
  • .dotm
  • .dotx
  • .dvi
  • .dxe
  • .mlx
  • .err
  • .euc
  • .faq
  • .fdr
  • .fds
  • .gthr
  • .idx
  • .kwd
  • .lp2
  • .ltr
  • .man
  • .mbox
  • .msg
  • .nfo
  • .now
  • .odm
  • .oft
  • .pwi
  • .rng
  • .rtx
  • .run
  • .ssa
  • .text
  • .unx
  • .wbk
  • .wsh
  • .7z
  • .arc
  • .ari
  • .arj
  • .car
  • .cbr
  • .cbz
  • .gz
  • .gzig
  • .jgz
  • .pak
  • .pcv
  • .puz
  • .rev
  • .sdn
  • .sen
  • .sfs
  • .sfx
  • .sh
  • .shar
  • .shr
  • .sqx
  • .tbz2
  • .tg
  • .tlz
  • .vsi
  • .wad
  • .war
  • .xpi
  • .z02
  • .z04
  • .zap
  • .zipx
  • .zoo
  • .ipa
  • .isu
  • .jar
  • .js
  • .udf
  • .adr
  • .ap
  • .aro
  • .asa
  • .ascx
  • .ashx
  • .asmx
  • .asp
  • .indd
  • .asr
  • .qbb
  • .bml
  • .cer
  • .cms
  • .crt
  • .dap
  • .htm
  • .moz
  • .svr
  • .url
  • .wdgt
  • .abk
  • .bic
  • .big
  • .blp
  • .bsp
  • .cgf
  • .chk
  • .col
  • .cty
  • .dem
  • .elf
  • .ff
  • .gam
  • .grf
  • .h3m
  • .h4r
  • .iwd
  • .ldb
  • .lgp
  • .lvl
  • .map
  • .md3
  • .mdl
  • .nds
  • .pbp
  • .ppf
  • .pwf
  • .pxp
  • .sad
  • .sav
  • .scm
  • .scx
  • .sdt
  • .spr
  • .sud
  • .uax
  • .umx
  • .unr
  • .uop
  • .usa
  • .usx
  • .ut2
  • .ut3
  • .utc
  • .utx
  • .uvx
  • .uxx
  • .vmf
  • .vtf
  • .w3g
  • .w3x
  • .wtd
  • .wtf
  • .ccd
  • .cd
  • .cso
  • .disk
  • .dmg
  • .dvd
  • .fcd
  • .flp
  • .img
  • .isz
  • .mdf
  • .mds
  • .nrg
  • .nri
  • .vcd
  • .vhd
  • .snp
  • .bkf
  • .ade
  • .adpb
  • .dic
  • .cch
  • .ctt
  • .dal
  • .ddc
  • .ddcx
  • .dex
  • .dif
  • .dii
  • .itdb
  • .itl
  • .kmz
  • .lcd
  • .lcf
  • .mbx
  • .mdn
  • .odf
  • .odp
  • .ods
  • .pab
  • .pkb
  • .pkh
  • .pot
  • .potx
  • .pptm
  • .psa
  • .qdf
  • .qel
  • .rgn
  • .rrt
  • .rsw
  • .rte
  • .sdb
  • .sdc
  • .sds
  • .sql
  • .stt
  • .tcx
  • .thmx
  • .txd
  • .txf
  • .upoi
  • .vmt
  • .wks
  • .wmdb
  • .xl
  • .xlc
  • .xlr
  • .xlsb
  • .xltx
  • .ltm
  • .xlwx
  • .mcd
  • .cap
  • .cc
  • .cod
  • .cp
  • .cpp
  • .cs
  • .csi
  • .dcp
  • .dcu
  • .dev
  • .dob
  • .dox
  • .dpk
  • .dpl
  • .dpr
  • .dsk
  • .dsp
  • .eql
  • .ex
  • .f90
  • .fla
  • .for
  • .fpp
  • .jav
  • .java
  • .lbi
  • .owl
  • .pl
  • .plc
  • .pli
  • .pm
  • .res
  • .rsrc
  • .so
  • .swd
  • .tpu
  • .tpx
  • .tu
  • .tur
  • .vc
  • .yab
  • .aip
  • .amxx
  • .ape
  • .api
  • .mxp
  • .oxt
  • .qpx
  • .qtr
  • .xla
  • .xlam
  • .xll
  • .xlv
  • .xpt
  • .cfg
  • .cwf
  • .dbb
  • .slt
  • .bp2
  • .bp3
  • .bpl
  • .clr
  • .dbx
  • .jc
  • .potm
  • .ppsm
  • .prc
  • .prt
  • .shw
  • .std
  • .ver
  • .wpl
  • .xlm
  • .yps
  • .1cd
  • .bck
  • .html
  • .bak
  • .odt
  • .pst
  • .log
  • .mpg
  • .mpeg
  • .odb
  • .wps
  • .xlk
  • .mdb
  • .dxg
  • .wpd
  • .wb2
  • .dbf
  • .ai
  • .3fr
  • .arw
  • .srf
  • .sr2
  • .bay
  • .crw
  • .cr2
  • .dcr
  • .kdc
  • .erf
  • .mef
  • .mrw
  • .nef
  • .nrw
  • .orf
  • .raf
  • .rwl
  • .rw2
  • .r3d
  • .ptx
  • .pef
  • .srw
  • .x3f
  • .der
  • .pem
  • .pfx
  • .p12
  • .p7b
  • .p7c
  • .jfif
  • .exif
  • .rar

  Solução

Mecanismo de varredura mínima: 9.800
Primeiro arquivo padrão VSAPI: 12.420.04
Data do lançamento do primeiro padrão VSAPI: 23 de março de 2016
VSAPI OPR Pattern Version: 12.421.00
VSAPI OPR Pattern veröffentlicht am: 24 de março de 2016

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 3

Reiniciar en modo seguro

[ Saber mais ]

Step 4

Buscar y eliminar estos archivos

[ Saber mais ]
Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción "Más opciones avanzadas" para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos.  
  • %Desktop%\DECRYPTION_HOWTO.Notepad
  • %Desktop%\surprise.bat
  • %Desktop%\Encrypted_Files.Notepad
DATA_GENERIC_FILENAME_1
  • En la lista desplegable Buscar en, seleccione Mi PC y pulse Intro.
  • Una vez haya encontrado el archivo, selecciónelo y, a continuación, pulse MAYÚS+SUPR para eliminarlo definitivamente.
  • Repita los pasos 2 a 4 con el resto de archivos:
       
      • %Desktop%\DECRYPTION_HOWTO.Notepad
      • %Desktop%\surprise.bat
      • %Desktop%\Encrypted_Files.Notepad

    • Step 5

    Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como RANSOM_SURPRISE.A En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.

    Step 7

    Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como RANSOM_SURPRISE.A En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.


    Participe da nossa pesquisa!