Ransom.MSIL.POVLSOM.THBAOBA

Publish Date: 06 febbraio 2021

Analizzato da: Lorenzo Martin Lopez

Ransom:MSIL/Filecoder.EY!MTB (MICROSOFT), Trojan-Ransom.FileCrypter (IKARUS)

Piattaforma:

Windows

Valutazione del rischio complessivo:

Potenziale dannoso: :

Potenziale di distribuzione: :

Reported Infection:

Informazioni esposizione: :

Basso

Medio

Alto

Critico

Tipo di minaccia informatica:
Ransomware
Distruttivo?:
No
Crittografato?:
No
In the wild::
Sì

Panoramica e descrizione

Canale infezione: Descargado de Internet, Eliminado por otro tipo de malware

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Dettagli tecnici

Dimensione file: 38,400 bytes

Tipo di file: EXE

Residente in memoria: Sì

Data di ricezione campioni iniziali: 09 febbraio 2021

Carica distruttiva: Displays graphics/image, Displays message/message boxes, Encrypts files

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{Povlsomware, Sistem32, Servers, or other} = {Malware Filepath}\{Malware Filename}.exe

Otros detalles

Muestra las imágenes siguientes:

Cifra los archivos con las extensiones siguientes:

7z
1cd
3fr
3g2
3gp
7z
accdb
ai
apk
arch00
ari
arw
asf
asp
aspx
asset
avi
bar
bat
bay
bc6
bc7
big
bik
bkf
bkp
blob
bmp
bsa
cad
cas
cdn
cdr
cer
cf
cfe
cfg
cfr
cfu
cr2
crt
crw
cs
css
csv
cxi
d3dbsp
das
dazip
db0
dba
dbf
dcr
der
desc
divx
dmp
dng
doc
docm
docx
dt
dwg
dxf
dxg
eip
epf
epk
eps
erf
esm
exe
ff
fff
flv
forge
fos
fpk
fsh
gdb
gho
gif
gpx
grs
hkdb
hkx
hplg
html
hvpl
ibank
icxs
iiq
img
indd
index
ini
itdb
itl
itm
iwd
iwi
j6i
jpe
jpeg
jpg
js
k25
kdb
kdc
key
kf
kml
kmz
layout
lbf
litemod
lnk
lrf
ltx
lvl
m2
m3u
m4a
m4v
map
mcmeta
md
mdb
mdbackup
mddata
mdf
mef
menu
mfw
mkv
mlx
mos
mov
mp3
mp4
mpeg
mpg
mpqge
mrw
mrwref
mxl
ncf
nef
nrg
nrw
ntl
odb
odc
odm
odp
ods
odt
ogg
orf
p12
p7b
p7c
pak
pdd
pdf
pef
pem
pfx
php
pk7
pkpass
png
pps
ppt
pptm
pptx
ps
psd
psk
pst
ptx
py
qdf
qic
r3d
raf
rar
raw
rb
re4
rgss3a
rim
rm
rofl
rtf
rw2
rwl
rwz
sav
sb
sid
sidd
sidn
sie
sis
slm
sln
snx
sql
sqlite
sqlite3
sr2
srf
srw
sum
svg
swf
syncdb
t12
t13
tax
tc
tga
tif
tiff
tor
txt
upk
vcf
vdf
vfs0
vob
vpk
vpp_pc
vtf
w3x
wallet
wav
wb2
wma
wmf
wmo
wmv
wotreplay
wpd
wps
x3f
xf
xlk
xlr
xls
xlsb
xlsm
xlsx
xml
xxx
zip
ztmp

Hace lo siguiente:

creates autostart registries only if the filepath does not contain rundll32.exe
has several variations with different target extensions and avoided folders

Soluzioni

Motore di scansione minimo: 9.800

Primo file di pattern VSAPI: 16.528.07

Data di pubblicazione del primo pattern VSAPI: 09 febbraio 2021

Versione pattern VSAPI OPR: 16.529.00

Data di pubblicazione del pattern VSAPI OPR: 10 febbraio 2021

Step 2

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 3

Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.

Step 4

Reiniciar en modo seguro

[ learnMore ]

Step 5

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

In HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- {Povlsomware, Sistem32, Servers, or other} = {Malware Filepath}\{Malware Filename}.exe

Step 6

Buscar y eliminar estos archivos

[ learnMore ]

Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción "Más opciones avanzadas" para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos.

Прочитай менЯ.txt
Наши контакты.txt

DATA_GENERIC_FILENAME_1

En la lista desplegable Buscar en, seleccione Mi PC y pulse Intro.

Una vez haya encontrado el archivo, selecciónelo y, a continuación, pulse MAYÚS+SUPR para eliminarlo definitivamente.

Repita los pasos 2 a 4 con el resto de archivos:
Прочитай менЯ.txt
Наши контакты.txt

Step 7

Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como Ransom.MSIL.POVLSOM.THBAOBA En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.

Step 8

Restore encrypted files from backup.

Sondaggio

Ransom.MSIL.POVLSOM.THBAOBA

Panoramica e descrizione

Dettagli tecnici

Soluzioni

Risorse

Assistenza

Informazioni su Trend

Ransom.MSIL.POVLSOM.THBAOBA

Panoramica e descrizione

Dettagli tecnici

Soluzioni

Risorse

Assistenza

Informazioni su Trend

America

Medio Oriente e Africa

Europa

Asia e Pacifico