Analisado por: Sabrina Lei Sioting   

 

Win32/Filecoder.CE (Eset), Trojan.Crypt2 (Ikarus), Trojan-Ransom.Win32.Blocker.drcc (Kaspersky), Trojan.Ransomcrypt (Symantec),

 Plataforma:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Trojan

  • Destrutivo:
    Não

  • Criptografado:
    Sim

  • In the Wild:
    Sim

  Visão geral

Canal de infecção: Baixados da Internet, Caiu por outro malware

Para obter uma visão rápida e abrangente do comportamento deste Trojan, consulte o Diagrama de Ameaças abaixo.

  Detalhes técnicos

Tipo de compactação: 281,088 bytes
Tipo de arquivo: EXE
Residente na memória: Sim
Data de recebimento das amostras iniciais: 07 de marzo de 2014
Carga útil: Encrypts files, Compromises system security, Terminates processes

Instalao

Ele deixa as seguintes cópias dele mesmo no sistema infectado e as executa:

  • %Application Data%\{random}.exe

(Observação: %Application Data% é a pasta de dados de aplicativos do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}\Application Data, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}\Application Data, no Windows NT; e C:\Documents and Settings\{nome do usuário}\Local Settings\Application Data, no Windows 2000, XP e Server 2003.)

Ele deixa os seguintes arquivos:

  • %Application Data%\bitcrypt.ccw - configuration file
  • %Application Data%\BitCrypt.txt - contains ransom message

(Observação: %Application Data% é a pasta de dados de aplicativos do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}\Application Data, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}\Application Data, no Windows NT; e C:\Documents and Settings\{nome do usuário}\Local Settings\Application Data, no Windows 2000, XP e Server 2003.)

Ele deixa arquivos de texto que servem como bilhetes de resgate contendo o seguinte:

Tcnica de inicializao automtica

Ele adiciona as seguintes entradas de registro para habilitar sua execução automática a cada inicialização do sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Bitcomint = "%Application Data%\{random}.exe"

Outras modificaes no sistema

Adiciona estas chaves de registro como parte da rotina de instalação:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
FileExts\.ccw

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
FileExts\.ccw\OpenWithList

Exclui estas chaves de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Network

Encerramento de processo

Ele encerra os seguintes processos, se encontrados executando na memória do sistema infectado:

  • taskmgr.exe
  • regedit.exe

Outros detalhes

Ele criptografa arquivos com as extensões a seguir:

  • *.abw
  • *.arj
  • *.asm
  • *.bpg
  • *.cdr
  • *.cdt
  • *.cdx
  • *.cer
  • *.css
  • *.dbf
  • *.dbt
  • *.dbx
  • *.dfm
  • *.djv
  • *.djvu
  • *.doc
  • *.docm
  • *.docx
  • *.dpk
  • *.dpr
  • *.frm
  • *.jpeg
  • *.jpg
  • *.key
  • *.lzh
  • *.lzo
  • *.mdb
  • *.mde
  • *.odc
  • *.pab
  • *.pas
  • *.pdf
  • *.pgp
  • *.php
  • *.pps
  • *.ppt
  • *.pst
  • *.rtf
  • *.sql
  • *.text
  • *.txt
  • *.vbp
  • *.vsd
  • *.wri
  • *.xfm
  • *.xlc
  • *.xlk
  • *.xls
  • *.xlsm
  • *.xlsx
  • *.xlw
  • *.xsf
  • *.xsn

  Solução

Mecanismo de varredura mínima: 9.700
VSAPI OPR Pattern Version: 10.657.00
VSAPI OPR Pattern veröffentlicht am: 10 de marzo de 2014

Step 1

Para os usuários do Windows ME e XP, antes de realizar qualquer varredura, verifique se você desabilitou a Restauração do Sistema para permitir a varredura completa do computador.

Step 2

Faça uma varredura em seu computador com o produto Trend Micro e anote os arquivos detectados como TROJ_CRIBIT.A

Step 3

Reinicie em Modo de Segurança

[ Saber mais ]

Step 4

Restaurando chaves de registro exclui´das

  1. Ainda no Editor de Registro, no painel a` esquerda, clique duas vezes em:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
    Control>SafeBoot>Minimal
  2. Clique com o bota~o direito do mouse na chave e selecione Nova>Chave. Altere o valor da nova chave para:
    {4D36E967-E325-11CE-BFC1-08002BE10318}
  3. Clique com o bota~o direito do mouse no nome do valor e selecione Modificar. Altere os dados do valor desta entrada para:
    DiskDrive
  4. No painel a` esquerda, clique duas vezes em:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
    Control>SafeBoot>Network
  5. Clique com o bota~o direito do mouse na chave e selecione Nova>Chave. Altere o valor da nova chave para:
    {4D36E967-E325-11CE-BFC1-08002BE10318}
  6. Clique com o bota~o direito do mouse no nome do valor e selecione Modificar. Altere os dados do valor desta entrada para:
    DiskDrive
  7. Feche o Editor de Registro.
'

Step 5

Exclua esse valor do registro

[ Saber mais ]

Importante: Editar o Registro do Windows de maneira incorreta pode causar danos irreversíveis ao sistema. Realize esta etapa apenas se você tiver conhecimento ou tiver como pedir ajuda ao administrador do seu sistema. Ou então, verifique primeiro este artigo da Microsoft antes de modificar o registro do seu computador.

 
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • Bitcomint = "%Application Data%\{random}.exe"

Step 6

Exclua esta chave de registro

[ Saber mais ]

Importante: Editar o Registro do Windows de maneira incorreta pode causar danos irreversíveis ao sistema. Realize esta etapa apenas se você tiver conhecimento ou tiver como pedir ajuda ao administrador do seu sistema. Ou então, verifique primeiro este artigo da Microsoft antes de modificar o registro do seu computador.

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts
    • .ccw

Step 7

Pesquise e exclua esses arquivos

[ Saber mais ]
Pode ser que alguns arquivos de componente estejam ocultos. Verifique se a caixa de seleção Pesquisar pastas e arquivos ocultos em 'Mais opções avançadas' está marcada para incluir todas as pastas e arquivos ocultos no resultado da pesquisa.
  • %Application Data%\bitcrypt.ccw
  • %Application Data%\BitCrypt.txt
  • {Folder path of encrypted files}\BitCrypt.txt

Step 8

Faça uma varredura em seu computador com o produto Trend Micro para excluir os arquivos detectados como TROJ_CRIBIT.A Se os arquivos detectados já tiverem sido limpos, excluídos ou colocados em quarentena pelo seu produto da Trend Micro, nada mais é necessário. Você pode optar por simplesmente excluir os arquivos em quarentena. Para obter mais informações, verifique a página da Base de Conhecimento.


Participe da nossa pesquisa!