Ransom_CRYPWALL.TZ

Modifica las entradas de registro para desactivar varios servicios del sistema. Esta acción impide el uso de casi todas las funciones del sistema.

Se conecta a determinados sitios Web para enviar y recibir información.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• %System Root%\{random 8 characters}\{random 8 characters}.exe
• %Application Data%\{random 8 characters}.exe
• %User Startup%\{random 8 characters}.exe

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Infiltra los archivos siguientes:

• %User Startup%\HELP_DECRYPT.HTML
• %User Startup%\HELP_DECRYPT.PNG
• %User Startup%\HELP_DECRYPT.TXT
• %User Startup%\HELP_DECRYPT.URL

(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).

Infiltra y ejecuta los archivos siguientes:

• %Desktop%\HELP_DECRYPT.HTML
• %Desktop%\HELP_DECRYPT.PNG
• %Desktop%\HELP_DECRYPT.TXT
• %Desktop%\HELP_DECRYPT.URL

(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).

Agrega los procesos siguientes:

• explorer.exe
• svchost.exe

Este malware se inyecta en los siguientes procesos que se ejecutan en la memoria:

• created svchost.exe
• created explorer.exe

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random 7 characters} = "%System Root%\{random 8 characters}\{random 8 characters}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random 8 characters} = "%Application Data%\{random 8 characters}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
*{random 6 characters} = "%System Root%\{random 8 characters}\{random 8 characters}.exe" (for Windows Vista and above only)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
*{random 7 characters} = "%Application Data%\{random 8 characters}.exe" (for Windows Vista and above only)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\{UID}

HKEY_CURRENT_USER\Software\{UID}\
{random key}

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\{UID}
{random 2 characters} = "{contents of HELP_DECRYPT.URL}"

HKEY_CURRENT_USER\Software\{UID}
{random 2 characters} = "{contents of HELP_DECRYPT.TXT}"

HKEY_CURRENT_USER\Software\{UID}
{random 2 characters} = "{contents of HELP_DECRYPT.HTML}"

HKEY_CURRENT_USER\Software\{UID}
{random 2 characters} = "{RSA PUBLIC KEY}"

HKEY_CURRENT_USER\Software\{UID}\
{random key}
{Path and file of encrypted file} = "{hex values}"

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SystemRestore
DisableSR = "1"

(Note: The default value data of the said registry entry is 0.)

Modifica las entradas de registro para desactivar los siguientes servicios del sistema:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\BITS
Start = "4"

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "4"

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
Start = "4"

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"

(Note: The default value data of the said registry entry is 2.)

Robo de información

Recopila los siguientes datos:

• Unique Identifier (UID)
• Machine Screenshot

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• http://{BLOCKED}cc.org/4.php
• http://{BLOCKED}ranslation.com/media/editors/tinymce/jscripts/tiny_mce/plugins/lists/2.php
• http://{BLOCKED}ogroup.com/plugins/content/jw_sig/jw_sig/includes/js/jquery_fancybox/5.php
• http://{BLOCKED}rning.com/amisonline05062015/amis4/permaswagefr/Resources/SPR-Pool/SPR0522/Resources/4.php
• http://{BLOCKED}atereqpt.com/media/editors/tinymce/jscripts/tiny_mce/plugins/noneditable/3.php
• http://{BLOCKED}ll.net/Old%20files/wp-content/plugins/ml-slider/assets/colorbox/images/ie6/1.php
• http://{BLOCKED}pplyonline.com/plugins/system/gantry/overrides/3.0/2.5/com_weblinks/5.php
• http://{BLOCKED}irtransplantbangalore.com/media/editors/tinymce/jscripts/tiny_mce/plugins/iespell/4.php
• http://{BLOCKED}naforestchildcare.com/plugins/system/gantry/overrides/3.0/2.5/mod_stats/5.php
• http://{BLOCKED}.eu/wp-content/themes/decoy2/redux-framework/ReduxCore/inc/fields/info/2.php
• http://{BLOCKED}lcarolinasports.com/plugins/system/gantry/overrides/3.0/2.5/mod_weblinks/2.php
• http://{BLOCKED}rbbom.com.br/wp-content/plugins/revslider/css/jui/old/images/5.php
• http://{BLOCKED}irbahrain.com/plugins/content/jw_sig/jw_sig/tmpl/Classic/images/2.php
• http://dev.{BLOCKED}a.pl/1.php
• http://{BLOCKED}s.com.br/wp-content/cache/db/000000/all/225/521/5.php
• http://{BLOCKED}dglassbh.com/media/editors/tinymce/jscripts/tiny_mce/plugins/layer/3.php
• http://{BLOCKED}dental.com/media/editors/tinymce/jscripts/tiny_mce/plugins/bbcode/3.php
• http://{BLOCKED}ster.info/components/com_fabrik/views/package/tmpl/module/images/1.php
• http://{BLOCKED}rain.com/media/editors/tinymce/jscripts/tiny_mce/plugins/save/4.php
• http://{BLOCKED}rim.fr/components/com_jce/editor/tiny_mce/plugins/visualblocks/css/2.php
• http://{BLOCKED}t.ru/components/com_jce/editor/libraries/views/browser/tmpl/4.php
• http://{BLOCKED}haccess.com/components/com_comprofiler/plugin/templates/winclassic/images/cluetip/5.php
• http://{BLOCKED}atent.net/en/wp-content/themes/u-design/scripts/superfish-menu/images/4.php
• http://konrad.{BLOCKED}ak.eu/1.php
• http://{BLOCKED}ent-retro.ru/plugins/editors/tinymce/jscripts/tiny_mce/plugins/fullscreen/3.php
• http://{BLOCKED}abrides.org.uk/wp-content/plugins/wpclef/assets/src/sass/neat/5.php
• http://{BLOCKED}nsfamilyhair.com/components/com_jce/editor/extensions/popups/window/tmpl/1.php
• http://{BLOCKED}tex.ru/templates/yoo_vida/warp/systems/joomla/language/sv-SE/5.php
• http://{BLOCKED}-krepezha.ru/administrator/components/com_chronoforms/js/tiny_mce/plugins/autolink/2.php
• http://{BLOCKED}osite.dk/wp-content/plugins/js_composer/assets/lib/prettyphoto/images/1.php
• http://{BLOCKED}a.{BLOCKED}il.net/2.php
• http://{BLOCKED}a.be/wp-content/plugins/sitepress-multilingual-cms/inc/installer/locale/orig/3.php
• http://{BLOCKED}ebaudin.com/wp-content/themes/skylab/option-tree/assets/images/layout/2.php
• http://{BLOCKED}environmental.com/components/com_jce/editor/extensions/popups/jcemediabox/css/3.php
• http://{BLOCKED}man.com/wp-content/plugins/wordpress-seo/vendor/yoast/license-manager/views/1.php
• http://{BLOCKED}t.com/media/editors/tinymce/jscripts/tiny_mce/plugins/spellchecker/5.php
• http://{BLOCKED}ct.com/wp-content/plugins/jetpack/modules/widget-visibility/widget-conditions/rtl/3.php
• http://{BLOCKED}mix.sk/wp-content/themes/Impreza/vendor/meta-box/css/jqueryui/1.php
• http://{BLOCKED}ak.eu/2.php
• http://{BLOCKED}byteits.com/media/coalawebsocial/plugins/quickicon/sociallinks/images/icons/4.php
• http://{BLOCKED}icaven.com/templates/yoo_salt/warp/systems/joomla/language/sr-YU/1.php
• http://{BLOCKED}bahrain.com/media/editors/tinymce/jscripts/tiny_mce/plugins/layer/4.php
• http://{BLOCKED}products.com/components/com_rokgallery/templates/gallery/grid-3col/light/images/1.php

Cifra los archivos con las extensiones siguientes:

• ce2
• cer
• cfp
• cgm
• cib
• class
• cls
• cmt
• cpi
• cpp
• cr2
• craw
• crt
• crw
• cs
• csh
• csl
• csv
• dac
• db
• db3
• dbf
• db-journal
• dc2
• dcr
• dcs
• ddd
• ddoc
• ddrw
• dds
• der
• des
• design
• dgc
• djvu
• dng
• doc
• docm
• docx
• dot
• dotm
• dotx
• drf
• drw
• dtd
• dwg
• dxb
• dxf
• dxg
• eml
• eps
• erbsql
• erf
• exf
• fdb
• ffd
• fff
• fh
• fhd
• fla
• flac
• flv
• fpx
• fxg
• gray
• grey
• gry
• h
• hbk
• hpp
• ibank
• ibd
• ibz
• idx
• iif
• iiq
• incpas
• indd
• java
• jpe
• jpeg
• jpg
• kc2
• kdbx
• kdc
• key
• kpdx
• lua
• m
• m4v
• max
• mdb
• mdc
• mdf
• mef
• mfw
• mmw
• moneywell
• mos
• mov
• mp3
• mp4
• mpg
• mrw
• msg
• myd
• nd
• ndd
• nef
• nk2
• nop
• nrw
• ns2
• ns3
• ns4
• nsd
• nsf
• nsg
• nsh
• nwb
• nx2
• nxl
• nyf
• oab
• obj
• odb
• odc
• odf
• odg
• odm
• odp
• ods
• odt
• oil
• orf
• ost
• otg
• oth
• otp
• ots
• ott
• p12
• p7b
• p7c
• pab
• pages
• pas
• pat
• pcd
• pct
• pdb
• pdd
• pdf
• pef
• pem
• pfx
• php
• pl
• plc
• pot
• potm
• potx
• ppam
• pps
• ppsm
• ppsx
• ppt
• pptm
• pptx
• prf
• ps
• psafe3
• psd
• pspimage
• pst
• ptx
• py
• qba
• qbb
• qbm
• qbr
• qbw
• qbx
• qby
• r3d
• raf
• rar
• rat
• raw
• rdb
• rm
• rtf
• rw2
• rwl
• rwz
• s3db
• sas7bdat
• say
• sd0
• sda
• sdf
• sldm
• sldx
• sql
• sqlite
• sqlite3
• sqlitedb
• sr2
• srf
• srt
• srw
• st4
• st5
• st6
• st7
• st8
• std
• sti
• stw
• stx
• svg
• swf
• sxc
• sxd
• sxg
• sxi
• sxi
• sxm
• sxw
• tex
• tga
• thm
• tlg
• txt
• vob
• wallet
• wav
• wb2
• wmv
• wpd
• wps
• x11
• x3f
• xis
• xla
• xlam
• xlk
• xlm
• xlr
• xls
• xlsb
• xlsm
• xlsx
• xlt
• xltm
• xltx
• xlw
• ycbcra
• 3dm
• 3ds
• 3fr
• 3g2
• 3gp
• 3pr
• 7z
• ab4
• accdb
• accde
• accdr
• accdt
• ach
• acr
• act
• adb
• ads
• agdl
• ai
• ait
• al
• apj
• arw
• asf
• asm
• asp
• asx
• avi
• awg
• back
• backup
• backupdb
• bak
• bank
• bay
• bdb
• bgt
• bik
• bkp
• blend
• bpw
• c
• cdf
• cdr
• cdr3
• cdr4
• cdr5
• cdr6
• cdrw
• cdx
• ce1
• yuv
• zip