Ransom.Win32.SHADE.THIODAI

Se conecta a determinados sitios Web para enviar y recibir información.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• %All Users Profile%\Windows\csrss.exe

Infiltra los archivos siguientes:

• %User Temp%\{random}\lock
• %User Temp%\{random}\state
• %User Temp%\{random}\unverified-microdesc-consensus
• %User Temp%\{random}\cached-certs
• %User Temp%\{random}\cached-microdesc-consensus
• %User Temp%\{random}\cached-microdescs.new
• %Application Data%\{Random characters}.bmp ← ransomware wallpaper

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

Agrega los procesos siguientes:

• %System%\cmd.exe chcp
• %System%\vssadmin.exe List Shadows
• %System%\vssadmin.exe Delete Shadows /All /Quiet

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) y 10(64-bit) en C:\Windows\System32).

Crea las carpetas siguientes:

• %User Temp%\{random}
• %All Users Profile%\Windows

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Client Server Runtime Subsystem = "%All Users Profile%\Windows\csrss.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
xVersion = "4.0.0.1"

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
xpk = "{PUBLIC KEY}"

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
xmode = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
xi = "{Random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
xstate = {number}

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
xcnt = "{number}"

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
shsnt = "{number}"

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
shst = "{number}"

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
sh1 = "{number}"

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
sh2 = "{number}"

Cambia el fondo de escritorio mediante la modificación de las siguientes entradas de registro:

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %Application Data%\{Random characters}.bmp

Este malware establece la imagen siguiente como fondo de escritorio del sistema:

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• http://{BLOCKED}p2xzclh6fd.onion/{path}
  where {path} can be any of the following:
  • reg.php
  • prog.php
  • err.php
  • cmd.php
  • sys.php
  • shd.php
  • mail.php