Analysé par: Jennifer Gumban   

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels:
 Distribution potentielle:
 reportedInfection:
 Information Exposure Rating:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Others

  • Destructif:
    Non

  • Chiffrement:
    Oui

  • In the wild:
    Oui

  Overview

Voie d'infection: Lâché par un autre malware, Téléchargé à partir d'Internet

Collecte certaines informations sur l'ordinateur affecté.

  Détails techniques

File size: 147,456 bytes
File type: EXE
Memory resident: Oui
Date de réception des premiers échantillons: 23 mars 2016
Charge malveillante: Encrypts files, Steals information

Installation

Introduit les fichiers de composant suivants :

  • %Desktop%\DECRYPTION_HOWTO.Notepad - ransomnote.
  • %Desktop%\surprise.bat - removes Shadow Volume Copies when executed.
  • %Desktop%\Encrypted_Files.Notepad - list of encrypted files

(Remarque : %Desktop% est le bureau de l'utilisateur actuel; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data dans Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Bureau sur Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Bureau sur Windows 2000, XP et Server 2003.)

Dépose des fichiers texte servant de demandes de rançon contenant les données suivantes :

  • What happened to your files ?
    All of your files were protected by a strong encryption.
    There is no way to decrypt your files without the key.
    If your files notimportant for you just reinstall your system.
    If your files is important just email us to discuss the price and how to decrypt your files.
    You can email us tonowayout@{BLOCKED}mail.com and nowayout@{BLOCKED}t.org
    Write your Email to both email addresses PLS
    We accept just BITCOIN if you dont know what it is just google it.
    We will give instructions where and how you buy bitcoin in your country.
    Price depends on how important your files and network is.it could be 0.5 bitcoin to 25 bitcoin.
    You can send us a 1 encrypted file for decryption.
    Feel free to email us with your country and computer name and username of the infected system.

Autres modifications du système

Modifie les fichiers suivants :

  • It renames encrypted files by adding ".surprise"

Vol d'informations

Collecte les informations suivantes sur l'ordinateur affecté :

  • Machine Name
  • User Name

Informations dérobées

Envoie les informations collectées via HTTP POST à l'URL suivante :

  • http://{BLOCKED}udio.duckdns.org/pull.php

Autres précisions

Chiffre les fichiers en utilisant les extensions suivantes :

  • .asf
  • .pdf
  • .xls
  • .docx
  • .xlsx
  • .mp3
  • .waw
  • .jpg
  • .jpeg
  • .txt
  • .rtf
  • .doc
  • .rar
  • .zip
  • .psd
  • .tif
  • .wma
  • .gif
  • .bmp
  • .ppt
  • .pptx
  • .docm
  • .xlsm
  • .pps
  • .ppsx
  • .ppd
  • .eps
  • .png
  • .ace
  • .djvu
  • .tar
  • .cdr
  • .max
  • .wmv
  • .avi
  • .wav
  • .mp4
  • .pdd
  • .php
  • .aac
  • .ac3
  • .amf
  • .amr
  • .dwg
  • .dxf
  • .accdb
  • .mod
  • .tax2013
  • .tax2014
  • .oga
  • .ogg
  • .pbf
  • .ra
  • .raw
  • .saf
  • .val
  • .wave
  • .wow
  • .wpk
  • .3g2
  • .3gp
  • .3gp2
  • .3mm
  • .amx
  • .avs
  • .bik
  • .dir
  • .divx
  • .dvx
  • .evo
  • .flv
  • .qtq
  • .tch
  • .rts
  • .rum
  • .rv
  • .scn
  • .srt
  • .stx
  • .svi
  • .swf
  • .trp
  • .vdo
  • .wm
  • .wmd
  • .wmmp
  • .wmx
  • .wvx
  • .xvid
  • .3d
  • .3d4
  • .3df8
  • .pbs
  • .adi
  • .ais
  • .amu
  • .arr
  • .bmc
  • .bmf
  • .cag
  • .cam
  • .dng
  • .ink
  • .jif
  • .jiff
  • .jpc
  • .jpf
  • .jpw
  • .mag
  • .mic
  • .mip
  • .msp
  • .nav
  • .ncd
  • .odc
  • .odi
  • .opf
  • .qif
  • .xwd
  • .abw
  • .act
  • .adt
  • .aim
  • .ans
  • .asc
  • .ase
  • .bdp
  • .bdr
  • .bib
  • .boc
  • .crd
  • .diz
  • .dot
  • .dotm
  • .dotx
  • .dvi
  • .dxe
  • .mlx
  • .err
  • .euc
  • .faq
  • .fdr
  • .fds
  • .gthr
  • .idx
  • .kwd
  • .lp2
  • .ltr
  • .man
  • .mbox
  • .msg
  • .nfo
  • .now
  • .odm
  • .oft
  • .pwi
  • .rng
  • .rtx
  • .run
  • .ssa
  • .text
  • .unx
  • .wbk
  • .wsh
  • .7z
  • .arc
  • .ari
  • .arj
  • .car
  • .cbr
  • .cbz
  • .gz
  • .gzig
  • .jgz
  • .pak
  • .pcv
  • .puz
  • .rev
  • .sdn
  • .sen
  • .sfs
  • .sfx
  • .sh
  • .shar
  • .shr
  • .sqx
  • .tbz2
  • .tg
  • .tlz
  • .vsi
  • .wad
  • .war
  • .xpi
  • .z02
  • .z04
  • .zap
  • .zipx
  • .zoo
  • .ipa
  • .isu
  • .jar
  • .js
  • .udf
  • .adr
  • .ap
  • .aro
  • .asa
  • .ascx
  • .ashx
  • .asmx
  • .asp
  • .indd
  • .asr
  • .qbb
  • .bml
  • .cer
  • .cms
  • .crt
  • .dap
  • .htm
  • .moz
  • .svr
  • .url
  • .wdgt
  • .abk
  • .bic
  • .big
  • .blp
  • .bsp
  • .cgf
  • .chk
  • .col
  • .cty
  • .dem
  • .elf
  • .ff
  • .gam
  • .grf
  • .h3m
  • .h4r
  • .iwd
  • .ldb
  • .lgp
  • .lvl
  • .map
  • .md3
  • .mdl
  • .nds
  • .pbp
  • .ppf
  • .pwf
  • .pxp
  • .sad
  • .sav
  • .scm
  • .scx
  • .sdt
  • .spr
  • .sud
  • .uax
  • .umx
  • .unr
  • .uop
  • .usa
  • .usx
  • .ut2
  • .ut3
  • .utc
  • .utx
  • .uvx
  • .uxx
  • .vmf
  • .vtf
  • .w3g
  • .w3x
  • .wtd
  • .wtf
  • .ccd
  • .cd
  • .cso
  • .disk
  • .dmg
  • .dvd
  • .fcd
  • .flp
  • .img
  • .isz
  • .mdf
  • .mds
  • .nrg
  • .nri
  • .vcd
  • .vhd
  • .snp
  • .bkf
  • .ade
  • .adpb
  • .dic
  • .cch
  • .ctt
  • .dal
  • .ddc
  • .ddcx
  • .dex
  • .dif
  • .dii
  • .itdb
  • .itl
  • .kmz
  • .lcd
  • .lcf
  • .mbx
  • .mdn
  • .odf
  • .odp
  • .ods
  • .pab
  • .pkb
  • .pkh
  • .pot
  • .potx
  • .pptm
  • .psa
  • .qdf
  • .qel
  • .rgn
  • .rrt
  • .rsw
  • .rte
  • .sdb
  • .sdc
  • .sds
  • .sql
  • .stt
  • .tcx
  • .thmx
  • .txd
  • .txf
  • .upoi
  • .vmt
  • .wks
  • .wmdb
  • .xl
  • .xlc
  • .xlr
  • .xlsb
  • .xltx
  • .ltm
  • .xlwx
  • .mcd
  • .cap
  • .cc
  • .cod
  • .cp
  • .cpp
  • .cs
  • .csi
  • .dcp
  • .dcu
  • .dev
  • .dob
  • .dox
  • .dpk
  • .dpl
  • .dpr
  • .dsk
  • .dsp
  • .eql
  • .ex
  • .f90
  • .fla
  • .for
  • .fpp
  • .jav
  • .java
  • .lbi
  • .owl
  • .pl
  • .plc
  • .pli
  • .pm
  • .res
  • .rsrc
  • .so
  • .swd
  • .tpu
  • .tpx
  • .tu
  • .tur
  • .vc
  • .yab
  • .aip
  • .amxx
  • .ape
  • .api
  • .mxp
  • .oxt
  • .qpx
  • .qtr
  • .xla
  • .xlam
  • .xll
  • .xlv
  • .xpt
  • .cfg
  • .cwf
  • .dbb
  • .slt
  • .bp2
  • .bp3
  • .bpl
  • .clr
  • .dbx
  • .jc
  • .potm
  • .ppsm
  • .prc
  • .prt
  • .shw
  • .std
  • .ver
  • .wpl
  • .xlm
  • .yps
  • .1cd
  • .bck
  • .html
  • .bak
  • .odt
  • .pst
  • .log
  • .mpg
  • .mpeg
  • .odb
  • .wps
  • .xlk
  • .mdb
  • .dxg
  • .wpd
  • .wb2
  • .dbf
  • .ai
  • .3fr
  • .arw
  • .srf
  • .sr2
  • .bay
  • .crw
  • .cr2
  • .dcr
  • .kdc
  • .erf
  • .mef
  • .mrw
  • .nef
  • .nrw
  • .orf
  • .raf
  • .rwl
  • .rw2
  • .r3d
  • .ptx
  • .pef
  • .srw
  • .x3f
  • .der
  • .pem
  • .pfx
  • .p12
  • .p7b
  • .p7c
  • .jfif
  • .exif
  • .rar

  Solutions

Moteur de scan minimum: 9.800
First VSAPI Pattern File: 12.420.04
First VSAPI Pattern Release Date: 23 mars 2016
VSAPI OPR Pattern Version: 12.421.00
VSAPI OPR Pattern Release Date: 24 mars 2016

Step 1

En cas d"utilisation de Windows ME ou XP, avant de procéder à un scan, assurez-vous de désactiver l’option de restauration du système afin que l’opération de scan soit complète sur votre ordinateur.

Step 3

Redémarrage en mode sans échec

[ learnMore ]

Step 4

Recherche et suppression de ces fichiers

[ learnMore ]
Il se peut que certains fichiers de composants soient cachés. Assurez-vous que la case Rechercher dans les fichiers et les dossiers cachés est cochée dans les "Options avancées" afin que les fichiers et dossiers cachés soient inclus dans les résultats de la recherche.  
  • %Desktop%\DECRYPTION_HOWTO.Notepad
  • %Desktop%\surprise.bat
  • %Desktop%\Encrypted_Files.Notepad
DATA_GENERIC_FILENAME_1
  • Dans la liste déroulante Regarder dans, sélectionnez Poste de travail, puis appuyez sur entrée.
  • Une fois localisé, sélectionnez le fichier et appuyez sur MAJ+SUPPR pour effacer le fichier de manière définitive.
  • Répétez les étapes 2 à 4 pour les fichiers restants :
       
      • %Desktop%\DECRYPTION_HOWTO.Notepad
      • %Desktop%\surprise.bat
      • %Desktop%\Encrypted_Files.Notepad
  • Step 5

    Redémarrez en mode normal et effectuez un scan de l"ordinateur à l"aide de votre produit Trend Micro afin de rechercher les fichiers détectés comme étant RANSOM_SURPRISE.A Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.

    Step 7

    Effectuez un scan de l’ordinateur à l’aide de votre produit Trend Micro pour supprimer les fichiers spécifiés comme étant RANSOM_SURPRISE.A Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.


    Participez à notre enquête!