RANSOM_JSRAA.A
JS/TrojanDropper.Agent.NCS (ESET), Trojan:JS/CryptoRa.A (F-Secure), JS/Ransom.RAA!tr (Fortinet)
Windows
Type de grayware:
Trojan
Destructif:
Non
Chiffrement:
Oui
In the wild:
Oui
Overview
Pour bénéficier d'un aperçu complet du comportement de ce programme espion, reportez-vous au diagramme des menaces présenté ci-dessous.

Infiltration sous forme de pièce jointe de messages de spam transmis par d''autres programmes malveillants/graywares/programmes espions ou par des utilisateurs malintentionnés.
Détails techniques
Précisions sur l'apparition de l'infection
Infiltration sous forme de pièce jointe de messages de spam transmis par d''autres programmes malveillants/graywares/programmes espions ou par des utilisateurs malintentionnés.
Technique de démarrage automatique
Ajoute les entrées de registre suivantes afin de s'exécuter automatiquement à chaque démarrage système :
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
(default) = "{malware path and filename}.js argument"
Autres modifications du système
Ajoute les clés de registre suivantes :
HKEY_CURRENT_USER\RAA\Raa-fnl
Supprime les clés de registre suivantes :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\VSS
(Note: This is the Windows Volume Shadow Copy (VSS) Service)
Autres précisions
Chiffre les fichiers en utilisant les extensions suivantes :
- doc
- xls
- rft
- dbf
- jpg
- dwg
- cdr
- psd
- cd
- mdb
- png
- lcd
- zip
- rar
- csv
Introduit les fichiers/composants suivants :
- %Desktop%\!!!README!!!{unique ID}.rtf - ransom note
- %My Documents%\doc_attached_{5 random characters} - word document
- %My Documents%\st.exe – detected as TSPY_FAREIT.RAA
(Note: %My Documents% is usually C:\Documents and Settings\{user name}\My Documents on Windows 2000, XP, and Server 2003, or C:\Users\{user name}\Documents on Windows Vista and 7.)
Solutions
Step 1
En cas d"utilisation de Windows ME ou XP, avant de procéder à un scan, assurez-vous de désactiver l’option de restauration du système afin que l’opération de scan soit complète sur votre ordinateur.
Step 3
Suppression des fichiers de programmes malveillants introduits par RANSOM_JSRAA.A
Step 4
Effectuez un scan de l'ordinateur à l'aide de votre produit Trend Micro et prenez note des fichiers spécifiés comme étant RANSOM_JSRAA.A
Step 5
Redémarrage en mode sans échec
Step 6
Supprimer cette valeur de registre
Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l"aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- (default) = "{malware path and filename}.js argument"
- (default) = "{malware path and filename}.js argument"
Step 7
Supprimer cette clé de registre
Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l"aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.
- In HKEY_CURRENT_USER
- RAA
- RAA
Step 8
Redémarrez en mode normal et effectuez un scan de l"ordinateur à l"aide de votre produit Trend Micro afin de rechercher les fichiers détectés comme étant RANSOM_JSRAA.A Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.
Participez à notre enquête!