Analisado por: Paul Steven Nadera   

 

HEUR:Trojan.MSIL.Fsysna.gen (Kaspersky);

 Plataforma:

Windows

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Ransomware

  • Destrutivo:
    Não

  • Criptografado:
    Sim

  • In the Wild:
    Sim

  Visão geral

Canal de infecção: Baixados da Internet, Caiu por outro malware

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

  Detalhes técnicos

Tipo de compactação: 15,872 bytes
Tipo de arquivo: EXE
Residente na memória: Sim
Data de recebimento das amostras iniciais: 16 de junio de 2021
Carga útil: Encrypts files, Displays message/message boxes

Detalhes da chegada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalao

Ele deixa as seguintes cópias dele mesmo no sistema infectado:

  • {Available Drive}\surprise.exe

Tcnica de inicializao automtica

Ele adiciona as seguintes entradas de registro para habilitar sua execução automática a cada inicialização do sistema:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Microsoft Store = %Application Data%\svchost.exe

Coloca este atalho apontando para sua cópia na pasta Inicialização do usuário, para ativar sua execução automática a cada inicialização do sistema:

  • %User Startup%\svchost.url

(Observação: %User Startup% é a pasta de inicialização do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}\Start Menu\Programs\Startup, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}\Start Menu\Programs\Startup, no Windows NT; C:\Documents and Settings\{nome do usuário}\Start Menu\Programs\Startup, no Windows 2003(32-bit), XP e 2000(32-bit); e C:\Users\{nome do usuário}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup no Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) e 10(64-bit).)

Outros detalhes

Ele criptografa arquivos com as extensões a seguir:

  • .txt
  • .jar
  • .dat
  • .contact
  • .settings
  • .doc
  • .docx
  • .xls
  • .xlsx
  • .ppt
  • .pptx
  • .odt
  • .jpg
  • .png
  • .csv
  • .py
  • .sql
  • .mdb
  • .php
  • .asp
  • .aspx
  • .html
  • .htm
  • .xml
  • .psd
  • .pdf
  • .dll
  • .cs
  • .mp3
  • .mp4
  • .dwg
  • .zip
  • .rar
  • .mov
  • .rtf
  • .bmp
  • .mkv
  • .avi
  • .apk
  • .lnk
  • .iso
  • .7-zip
  • .ace
  • .arj
  • .bz2
  • .cab
  • .gzip
  • .lzh
  • .tar
  • .jpeg
  • .xz
  • .mpeg
  • .mp3
  • .mpg
  • .core
  • .pdb
  • .ico
  • .pas
  • .db
  • .wmv
  • .mp3
  • .cer
  • .bak
  • .backup
  • .accdb
  • .bay
  • .p7c
  • .exif
  • .m4a
  • .wma
  • .flv
  • .sie
  • .sum
  • .ibank
  • .wallet
  • .css
  • .js
  • .rb
  • .crt
  • .xlsm
  • .xlsb
  • .7z
  • .cpp
  • .java
  • .jpe
  • .ini
  • .blob
  • .wps
  • .docm
  • .wav
  • .3gp
  • .webm
  • .m4v
  • .amv
  • .m4p
  • .svg
  • .ods
  • .bk
  • .vdi
  • .vmdk
  • .jsp
  • .json

  Solução

Mecanismo de varredura mínima: 9.800
Primeiro arquivo padrão VSAPI: 16.888.01
Data do lançamento do primeiro padrão VSAPI: 05 de agosto de 2021
VSAPI OPR Pattern Version: 16.889.00
VSAPI OPR Pattern veröffentlicht am: 06 de agosto de 2021

Step 1

Para os usuários do Windows ME e XP, antes de realizar qualquer varredura, verifique se você desabilitou a Restauração do Sistema para permitir a varredura completa do computador.

Step 2

Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.

Step 3

Identifique e feche os arquivos detectados como Ransom.MSIL.CHAOS.A.

[ Saber mais ]
  1. Para usuários de Windows 98 e ME, o Gerenciador de Tarefas do Windows talvez não exiba todos os processos em execução. Neste caso, use um visualizador de processos de terceiros, preferencialmente o Process Explorer, para fechar o arquivo do malware/grayware/spyware. Você pode baixar a ferramenta mencionada aqui.
  2. Se o arquivo detectado for exibido no Gerenciador de Tarefas do Windows ou no Process Explorer, mas você não conseguir excluí-lo, reinicie seu computador em modo de segurança. Para isso, consulte esse link para ver todas as etapas.
  3. Se o arquivo detectado não for exibido no Gerenciador de Tarefas ou no Process Explorer, continue realizando as próximas etapas.

Step 4

Exclua esse valor do registro

[ Saber mais ]

Importante: Editar o Registro do Windows de maneira incorreta pode causar danos irreversíveis ao sistema. Realize esta etapa apenas se você tiver conhecimento ou tiver como pedir ajuda ao administrador do seu sistema. Ou então, verifique primeiro este artigo da Microsoft antes de modificar o registro do seu computador.

  • In HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • Microsoft Store = %Application Data%\svchost.exe

Step 5

Pesquise e exclua esse arquivo

[ Saber mais ]
Pode ser que alguns arquivos de componente estejam ocultos. Verifique se a caixa de seleção Pesquisar pastas e arquivos ocultos em 'Mais opções avançadas' está marcada para incluir todas as pastas e arquivos ocultos no resultado da pesquisa.
  • %Application Data%\svchost.exe
  • %User Startup%\svchost.url

Step 6

Faça uma varredura em seu computador com o produto Trend Micro para excluir os arquivos detectados como Ransom.MSIL.CHAOS.A Se os arquivos detectados já tiverem sido limpos, excluídos ou colocados em quarentena pelo seu produto da Trend Micro, nada mais é necessário. Você pode optar por simplesmente excluir os arquivos em quarentena. Para obter mais informações, verifique a página da Base de Conhecimento.

Step 7

Restore encrypted files from backup.


Participe da nossa pesquisa!