Análisis realizado por : Rheniel Rhay Ramos   
 Alias

Ransom.Tox (Symantec); Trojan.Win32.KillMBR.gfd (Kaspersky); Ransom:Win32/Genasom (Microsoft)

 Plataforma:

Windows

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
 Revelación de la información:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Ransomware

  • Destructivo?
    No

  • Cifrado

  • In the Wild:

  Resumen y descripción

Reinicia el sistema afectado.

  Detalles técnicos

Tamaño del archivo 1,246,725 bytes
Tipo de archivo EXE
Residente en memoria No
Fecha de recepción de las muestras iniciales 23 de septiembre de 2017
Carga útil Terminates processes, Restarts system, Displays graphics/image, Encrypts files

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %User Profile%\{random numbers}\main.exe

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Infiltra los archivos siguientes:

  • %User Profile%\{random numbers}\boot.asm -> will be compiled into boot.bin
  • %User Profile%\{random numbers}\boot.bin -> new master boot record

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Infiltra y ejecuta los archivos siguientes:

  • %User Profile%\{random numbers}\assembler.exe -> used to compile boot.asm into boot.bin
  • %User Profile%\{random numbers}\overwrite.exe -> used to overwrite the existing master boot record with boot.bin
  • %User Profile%\{random numbers}\protect.exe -> used to terminate process related applications

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Agrega los procesos siguientes:

  • %User Profile%\{random numbers}\assembler.exe -f bin %User Profile%\{random numbers}\boot.asm -o %User Profile%\{random numbers}\boot.bin
  • %User Profile%\{random numbers}\overwrite.exe %User Profile%\{random numbers}\boot.bin
  • %User Profile%\{random numbers}\protect.exe

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Crea las carpetas siguientes:

  • %User Profile%\{random numbers}

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Finalización del proceso

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

  • taskmgr.exe

Otros detalles

Reinicia el sistema afectado.

  Soluciones

Motor de exploración mínimo 9.850
Primer archivo de patrones de VSAPI 13.680.05
Primera fecha de publicación de patrones de VSAPI 23 de septiembre de 2017
Versión de patrones OPR de VSAPI 13.681.00
Fecha de publicación de patrones OPR de VSAPI 24 de septiembre de 2017

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.


Rellene nuestra encuesta!