Analysé par: Homer Pacag   

 

Ransom:Win32/Genasom (Microsoft); Win32/Filecoder.Stampado.A trojan, Win32/Filecoder.Stampado.A (ESET-NOD32);

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels:
 Distribution potentielle:
 reportedInfection:
 Information Exposure Rating:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Trojan

  • Destructif:
    Non

  • Chiffrement:
    Oui

  • In the wild:
    Oui

  Overview

Voie d'infection: Téléchargé à partir d'Internet

Pour bénéficier d'un aperçu complet du comportement de ce programme espion, reportez-vous au diagramme des menaces présenté ci-dessous.

  Détails techniques

File size: 886,273 bytes
File type: EXE
Memory resident: Oui
Date de réception des premiers échantillons: 21 juillet 2016
Charge malveillante: Connects to URLs/IPs, Encrypts files, Displays message/message boxes

Installation

Introduit les fichiers suivants :

  • %Application Data%\{random 32 hex characters} - file with larger size contains list of files that was encrypted
  • %Application Data%\{random 32 hex characters} - file with smaller size contains date stamp, process id and status

(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.)

Introduit les duplicats suivants au sein du système affecté.

  • %Application Data%\scvhost.exe

(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.)

Technique de démarrage automatique

Ajoute les entrées de registre suivantes afin de s'exécuter automatiquement à chaque démarrage système :

HKLM\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Windows Update = %Application Data%\scvhost.exe

Autres modifications du système

Modifie les fichiers suivants :

  • It encrypts files and appends the extension .locked

Autres précisions

Chiffre les fichiers en utilisant les extensions suivantes :

  • .001
  • .3fr
  • .7z
  • .DayZProfile
  • .accdb
  • .ai
  • .aiml
  • .ani
  • .apk
  • .arch00
  • .arw
  • .asset
  • .au3
  • .avi
  • .bak
  • .bar
  • .bay
  • .bc6
  • .bc7
  • .big
  • .bik
  • .bkf
  • .bkp
  • .blob
  • .bmp
  • .bsa
  • .c
  • .cas
  • .cdr
  • .cer
  • .cfr
  • .cpp
  • .cr2
  • .crt
  • .crw
  • .css
  • .csv
  • .d3dbsp
  • .das
  • .dazip
  • .db0
  • .dbfv
  • .dcr
  • .der
  • .desc
  • .dmg
  • .dmp
  • .dng
  • .doc
  • .docm
  • .docx
  • .dwg
  • .dxg
  • .epk
  • .eps
  • .erf
  • .esm
  • .ff
  • .flv
  • .forge
  • .fos
  • .fpk
  • .fsh
  • .gdb
  • .gho
  • .gif
  • .hkdb
  • .hkx
  • .hplg
  • .html
  • .hvpl
  • .ibank
  • .ico
  • .icxs
  • .indd
  • .itdb
  • .itl
  • .itm
  • .iwd
  • .iwi
  • .jpeg
  • .jpg
  • .js
  • .kdb
  • .kdc
  • .kf
  • .layout
  • .lbf
  • .litemod
  • .lrf
  • .ltx
  • .lvl
  • .m2
  • .m3u
  • .m4a
  • .map
  • .mcgame
  • .mcmeta
  • .mdb
  • .mdbackup
  • .mddata
  • .mdf
  • .mef
  • .menu
  • .mlx
  • .mov
  • .mp3
  • .mp4
  • .mpqge
  • .mrwref
  • .ncf
  • .nrw
  • .ntl
  • .odb
  • .odc
  • .odm
  • .odp
  • .ods
  • .odt
  • .orf
  • .p12
  • .p7b
  • .p7c
  • .pak
  • .pas
  • .pdd
  • .pdf
  • .pef
  • .pem
  • .pfx
  • .php
  • .pkpass
  • .png
  • .pps
  • .ppsx
  • .ppt
  • .pptm
  • .pptx
  • .ps
  • .psd
  • .psk
  • .pst
  • .ptx
  • .py
  • .qdf
  • .qic
  • .r3d
  • .raf
  • .rar
  • .raw
  • .rb
  • .re4
  • .rgss3a
  • .rim
  • .rofl
  • .rtf
  • .rw2
  • .rwl
  • .sav
  • .sb
  • .sc2save
  • .sid
  • .sidd
  • .sidn
  • .sie
  • .sis
  • .skp
  • .slm
  • .snx
  • .sql
  • .sr2
  • .srf
  • .srw
  • .sum
  • .svg
  • .syncdb
  • .t12
  • .t13
  • .tax
  • .tor
  • .txt
  • .unity3d
  • .upk
  • .vdf
  • .vfs0
  • .vpk
  • .vpp_pc
  • .vtf
  • .w3x
  • .wav
  • .wb2
  • .wma
  • .wmo
  • .wmv
  • .wotreplay
  • .wpd
  • .wps
  • .x3f
  • .xf
  • .xlk
  • .xls
  • .xlsb
  • .xlsm
  • .xlsx
  • .xml
  • .xxx
  • .zip
  • .ztmp

  Solutions

Moteur de scan minimum: 9.800
First VSAPI Pattern File: 12.666.07
First VSAPI Pattern Release Date: 21 juillet 2016
VSAPI OPR Pattern Version: 12.667.00
VSAPI OPR Pattern Release Date: 22 juillet 2016

Step 1

En cas d"utilisation de Windows ME ou XP, avant de procéder à un scan, assurez-vous de désactiver l’option de restauration du système afin que l’opération de scan soit complète sur votre ordinateur.

Step 3

Redémarrage en mode sans échec

[ learnMore ]

Step 4

Supprimer cette valeur de registre

[ learnMore ]

Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l"aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.

 
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • Windows Update = %Application Data%\scvhost.exe

Step 5

Recherche et suppression de ce fichier

[ learnMore ]
Il se peut que certains fichiers de composants soient cachés. Assurez-vous que la case Rechercher dans les fichiers et les dossiers cachés est cochée dans les Options avancées afin que les fichiers et dossiers cachés soient inclus dans les résultats de la recherche.
  • %Application Data%\scvhost.exe
  • %Application Data%\{random 32 hex characters}

Step 6

Redémarrez en mode normal et effectuez un scan de l"ordinateur à l"aide de votre produit Trend Micro afin de rechercher les fichiers détectés comme étant RANSOM_STAMPADO.A Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.

Step 7

Effectuez un scan de l’ordinateur à l’aide de votre produit Trend Micro pour supprimer les fichiers spécifiés comme étant RANSOM_STAMPADO.A Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.


Participez à notre enquête!