Ransom.Win32.CRYPTESLA.KPNJ

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Se ejecuta y, a continuación, se elimina.

Se conecta a determinados sitios Web para enviar y recibir información.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

• %Application Data%\{random string}-a.exe -> dropped copy

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).

Infiltra los archivos siguientes:

• %User Profile%\Documents\recover_file_{random string}.txt -> contains encoded data

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario} y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}).

Agrega los procesos siguientes:

• bcdedit.exe /set {current} bootems off
• bcdedit.exe /set {current} advancedoptions off
• bcdedit.exe /set {current} optionsedit off
• bcdedit.exe /set {current} bootstatuspolicy IgnoreAllFailures
• bcdedit.exe /set {current} recoveryenabled off
• "%System%\vssadmin.exe" delete shadows /all /Quiet
• "%System%\NOTEPAD.EXE" %Desktop%\Howto_RESTORE_FILES.txt
• %Application Data%\{random string}-a.exe
• "%System%\cmd.exe" /c DEL {malware path}\{malware filename}.exe -> deletes original malware file
• "C:\Windows\system32\cmd.exe" /c DEL %Application Data%\{random string}-a.exe -> deletes dropped copy after execution

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) y 10(64-bit) en C:\Windows\System32).

Se ejecuta y, a continuación, se elimina.

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• 78456214324124

Técnica de inicio automático

Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Acronis = %Application Data%\{random string}-a.exe

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\zsys
ID = {Instance ID}

HKEY_CURRENT_USER\Software\{Instance ID in hex}
data = {encoded data}

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLinkedConnections = 1 -> to ensure it can find mapped network drives

Finalización del proceso

Finaliza procesos o servicios que contienen una de las cadenas siguientes si detecta que se ejecutan en la memoria del sistema afectado:

• askmg -> taskmgr
• rocex -> procexp
• egedi -> regedit
• sconfi -> msconfig
• cmd -> CMD

Otros detalles

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\zsys

HKEY_CURRENT_USER\Software\{Instance ID in hex}

Se conecta al sitio Web siguiente para enviar y recibir información:

• http://{BLOCKED}a.com/misc.php
• http://{BLOCKED}rabailarsevillanas.com/wp-content/uploads/misc.php
• http://{BLOCKED}stiepel.com/tmp/misc.php
• http://{BLOCKED}den.com/sysmisc.php
• http://{BLOCKED}totalwellness.com/wp-content/uploads/misc.php
• http://{BLOCKED}k.com/misc.php

Cifra los archivos con las extensiones siguientes:

• .vpp_pc
• .r3d
• .ptx
• .pef
• .srw
• .x3f
• .der
• .cer
• .crt
• .pem
• .odt
• .ods
• .odp
• .odm
• .odc
• .odb
• .doc
• .docx
• .kdc
• .mef
• .mrwref
• .nrw
• .orf
• .raw
• .rwl
• .rw2
• .mdf
• .dbf
• .psd
• .pdd
• .pdf
• .eps
• .jpg
• .jpe
• .dng
• .3fr
• .arw
• .srf
• .sr2
• .bay
• .crw
• .cr2
• .dcr
• .ai
• .indd
• .cdr
• .erf
• .bar
• .hkx
• .raf
• .rofl
• .dba
• .db0
• .kdb
• .mpqge
• .vfs0
• .mcmeta
• .m2
• .lrf
• .ff
• .cfr
• .snx
• .lvl
• .arch00
• .ntl
• .fsh
• .itdb
• .itl
• .mddata
• .sidd
• .sidn
• .bkf
• .qic
• .bkp
• .bc7
• .bc6
• .pkpass
• .tax
• .gdb
• .qdf
• .t12
• .t13
• .ibank
• .sum
• .sie
• .zip
• .w3x
• .rim
• .psk
• .tor
• .vpk
• .iwd
• .kf
• .mlx
• .fpk
• .dazip
• .vtf
• .vcf
• .esm
• .blob
• .dmp
• .layout
• .menu
• .ncf
• .sid
• .sis
• .ztmp
• .vdf
• .mov
• .fos
• .sb
• .itm
• .wmo
• .itm
• .map
• .wmo
• .sb
• .svg
• .cas
• .gho
• .syncdb
• .mdbackup
• .hkdb
• .hplg
• .hvpl
• .icxs
• .docm
• .wps
• .xls
• .xlsx
• .xlsm
• .xlsb
• .xlk
• .ppt
• .pptx
• .pptm
• .mdb
• .accdb
• .pst
• .dwg
• .xf
• .dxg
• .wpd
• .rtf
• .wb2
• .pfx
• .p12
• .p7b
• .p7c
• .txt
• .jpeg
• .png
• .rb
• .css
• .js
• .flv
• .m3u
• .py
• .desc
• .xxx
• .wotreplay
• wallet
• .big
• .pak
• .rgss3a
• .epk
• .bik
• .slm
• .lbf
• .sav
• .re4
• .apk
• .bsa
• .ltx
• .forge
• .asset
• .litemod
• .iwi
• .das
• .upk
• .d3dbsp
• .csv
• .wmv
• .avi
• .wma
• .m4a
• .rar
• .7z
• .mp4
• .sql