Analisado por: David John Agni   

 

Trojan-Ransom.Win32.Raas (Ikarus), Trojan-Ransom.Win32.Raas.a (Kaspersky),

 Plataforma:

Windows

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Trojan

  • Destrutivo:
    Não

  • Criptografado:
    Não

  • In the Wild:
    Sim

  Visão geral

Canal de infecção: Caiu por outro malware, Baixados da Internet

Para obter uma visão rápida e abrangente do comportamento deste Trojan, consulte o Diagrama de Ameaças abaixo.

  Detalhes técnicos

Tipo de compactação: 203264 bytes
Tipo de arquivo: EXE
Residente na memória: Não
Data de recebimento das amostras iniciais: 03 de agosto de 2015
Carga útil: Encrypts files, Steals information

Instalao

Deixa os seguintes arquivos inofensivos:

  • %Desktop%\encryptor_raas_readme_liesmich.txt - ransom notes

(Observação: %Desktop% é a área de trabalho do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}\Desktop, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}\Desktop, no Windows NT; e C:\Documents and Settings\{nome do usuário}\Desktop, no Windows 2000, XP e Server 2003.)

Roubo de informaes

Coleta os seguintes dados:

  • Machine GUID

Outros detalhes

Ele criptografa arquivos com as extensões a seguir:

  • 3dm
  • 3ds
  • 3g2
  • 3gp
  • 7z
  • abw
  • accdb
  • ai
  • aif
  • arc
  • as
  • asc
  • asf
  • ashdisc
  • asm
  • asp
  • aspx
  • asx
  • aup
  • avi
  • bbb
  • bdb
  • bibtex
  • bkf
  • bmp
  • bpn
  • btd
  • bz2
  • cdi
  • cer
  • cert
  • cfm
  • cgi
  • cpio
  • cpp
  • crt
  • csr
  • cue
  • c++
  • dds
  • dem
  • dmg
  • doc
  • docm
  • docx
  • dsb
  • dwg
  • dxf
  • eddx
  • edoc
  • eml
  • emlx
  • eps
  • epub
  • fdf
  • ffu
  • flv
  • gam
  • gcode
  • gho
  • gif
  • gpx
  • gz
  • hbk
  • hdd
  • hds
  • hpp
  • h++
  • ics
  • idml
  • iff
  • img
  • indd
  • ipd
  • iso
  • isz
  • iwa
  • j2k
  • jp2
  • jpf
  • jpeg
  • jpg
  • jpm
  • jpx
  • jsp
  • jspa
  • jspx
  • jst
  • key
  • keynote
  • kml
  • kmz
  • lic
  • lwp
  • lzma
  • m3u
  • m4a
  • m4v
  • max
  • mbox
  • md2
  • mdb
  • mdbackup
  • mddata
  • mdf
  • mdinfo
  • mds
  • mid
  • mov
  • mp3
  • mp4
  • mpa
  • mpb
  • mpeg
  • mpg
  • mpj
  • mpp
  • msg
  • mso
  • nba
  • nbf
  • nbi
  • nbu
  • nbz
  • nco
  • nes
  • note
  • nrg
  • nri
  • ods
  • odt
  • ogg
  • ova
  • ovf
  • oxps
  • p2i
  • p65
  • p7
  • pages
  • pct
  • pdf
  • pem
  • phtm
  • phtml
  • php
  • php3
  • php4
  • php5
  • phps
  • phpx
  • phpxx
  • pl
  • plist
  • pmd
  • pmx
  • png
  • ppdf
  • pps
  • ppsm
  • ppsx
  • ppt
  • pptm
  • pptx
  • ps
  • psd
  • pspimage
  • pst
  • pub
  • pvm
  • qcn
  • qcow
  • qcow2
  • qt
  • ra
  • rar
  • raw
  • rm
  • rtf
  • sbf
  • set
  • skb
  • slf
  • sme
  • smm
  • spb
  • sql
  • srt
  • ssc
  • ssi
  • stg
  • stl
  • svg
  • swf
  • sxw
  • syncdb
  • tar
  • tc
  • tex
  • tga
  • thm
  • tif
  • tiff
  • toast
  • torrent
  • tpl
  • ts
  • txt
  • vbk
  • vcard
  • vcd
  • vcf
  • vdi
  • vfs4
  • vhd
  • vhdx
  • vmdk
  • vob
  • wbverify
  • wav
  • webm
  • wmb
  • wpb
  • wps
  • xdw
  • xlr
  • xls
  • xlsx
  • xz
  • yuv
  • zip
  • zipx

  Solução

Mecanismo de varredura mínima: 9.750
VSAPI OPR Pattern Version: 11.833.00
VSAPI OPR Pattern veröffentlicht am: 05 de agosto de 2015

Step 1

Faça uma varredura em seu computador com o produto Trend Micro para excluir os arquivos detectados como RANSOM_CRYPRAAS.SM Se os arquivos detectados já tiverem sido limpos, excluídos ou colocados em quarentena pelo seu produto da Trend Micro, nada mais é necessário. Você pode optar por simplesmente excluir os arquivos em quarentena. Para obter mais informações, verifique a página da Base de Conhecimento.

Step 3

Para os usuários do Windows ME e XP, antes de realizar qualquer varredura, verifique se você desabilitou a Restauração do Sistema para permitir a varredura completa do computador.


Participe da nossa pesquisa!