Analysé par: Jennifer Gumban   

 

Ransom:MSIL/Ryzerlo.A (Microsoft)

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels:
 Distribution potentielle:
 Infection signalée:
 Information Exposure Rating:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Trojan

  • Destructif:
    Non

  • Chiffrement:
    Non

  • In the wild:
    Oui

  Overview

Voie d'infection: Téléchargé à partir d'Internet, Lâché par un autre malware

Collecte certaines informations sur l'ordinateur affecté.

  Détails techniques

File size: 213,504 bytes
File type: EXE
Memory resident: Non
Date de réception des premiers échantillons: 17 décembre 2015
Charge malveillante: Encrypts files, Connects to URLs/IPs, Steals information

Installation

Introduit les duplicats suivants au sein du système affecté, puis les exécute :

  • %User Profile%\able.exe

(Remarque : %User Profile% est le dossier du profil de l'utilisateur actuel ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur} sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur} sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur} sous Windows 2000, XP et Server 2003.)

Introduit les fichiers suivants :

  • %User Temp%\text.txt - contains machine name and encryption key
  • %Desktop%\MENSAGEM.txt - ransom note

Routine de téléchargement

Le programme enregistre les fichiers qu''il télécharge en utilisant les noms suivants :

  • %User Profile%\ran.jpg - ransom note

Vol d'informations

Collecte les informations suivantes sur l'ordinateur affecté :

  • Machine Name
  • User Name

  Solutions

Moteur de scan minimum: 9.800
First VSAPI Pattern File: 12.216.02
First VSAPI Pattern Release Date: 17 décembre 2015
VSAPI OPR Pattern Version: 12.217.00
VSAPI OPR Pattern Release Date: 18 décembre 2015

Step 1

En cas d"utilisation de Windows ME ou XP, avant de procéder à un scan, assurez-vous de désactiver l’option de restauration du système afin que l’opération de scan soit complète sur votre ordinateur.

Step 2

Recherche et suppression de ces fichiers

[ suite ]
Il se peut que certains fichiers de composants soient cachés. Assurez-vous que la case Rechercher dans les fichiers et les dossiers cachés est cochée dans les "Options avancées" afin que les fichiers et dossiers cachés soient inclus dans les résultats de la recherche.  
  • %User Profile%\ran.jpg
  • %User Temp%\text.txt
  • %Desktop%\MENSAGEM.txt
DATA_GENERIC_FILENAME_1
  • Dans la liste déroulante Regarder dans, sélectionnez Poste de travail, puis appuyez sur entrée.
  • Une fois localisé, sélectionnez le fichier et appuyez sur MAJ+SUPPR pour effacer le fichier de manière définitive.
  • Répétez les étapes 2 à 4 pour les fichiers restants :
       
      • %User Profile%\ran.jpg
      • %User Temp%\text.txt
      • %Desktop%\MENSAGEM.txt
  • Step 3

    Effectuez un scan de l’ordinateur à l’aide de votre produit Trend Micro pour supprimer les fichiers spécifiés comme étant RANSOM_CRYPTEAR.B Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.


    Participez à notre enquête!