Analisado por: Rhena Inocencio   

 

Backdoor.Win32.Androm.dowv (Kaspersky), Trojan.Fakeavlock (Symantec), Mal/VBInj-AO (Sophos), Win32/Filecoder.CE trojan (ESET)

 Plataforma:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Trojan

  • Destrutivo:
    Não

  • Criptografado:
    Sim

  • In the Wild:
    Sim

  Visão geral

Canal de infecção: Baixados da Internet, Caiu por outro malware

Para obter uma visão rápida e abrangente do comportamento deste Trojan, consulte o Diagrama de Ameaças abaixo.

Pode ser baixado de sites remotos por outro malware/grayware/spyware.

  Detalhes técnicos

Tipo de compactação: 312,032 bytes
Tipo de arquivo: EXE
Residente na memória: Sim
Data de recebimento das amostras iniciais: 09 de marzo de 2014
Carga útil: Compromises system security, Terminates processes, Encrypts files

Detalhes da chegada

Pode ser baixado de sites remotos pelo seguinte malware/grayware/spyware:

  • TSPY_FAREIT.BB

Pode ser baixado dos seguintes sites remotos:

  • http://{BLOCKED}directory.com/file/win.exe

Instalao

Deixa os seguintes arquivos de componente:

  • %Application Data%\BitCrypt.txt - contains ransom message
  • %Application Data%\BitCrypt.bmp - used as wallpaper
  • %Application Data%\bitcrypt.ccw - configuration file

(Observação: %Application Data% é a pasta de dados de aplicativos do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}\Application Data, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}\Application Data, no Windows NT; e C:\Documents and Settings\{nome do usuário}\Local Settings\Application Data, no Windows 2000, XP e Server 2003.)

Ele deixa as seguintes cópias dele mesmo no sistema infectado:

  • %Application Data%\{random filename}.exe - deleted after encryption routine

(Observação: %Application Data% é a pasta de dados de aplicativos do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}\Application Data, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}\Application Data, no Windows NT; e C:\Documents and Settings\{nome do usuário}\Local Settings\Application Data, no Windows 2000, XP e Server 2003.)

Ele deixa arquivos de texto que servem como bilhetes de resgate contendo o seguinte:

Tcnica de inicializao automtica

Ele adiciona as seguintes entradas de registro para habilitar sua execução automática a cada inicialização do sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Bitcomint = "%Application Data%\{random filename}.exe" (This is deleted after the malware successfully encrypted user's files)

Outras modificaes no sistema

Exclui estas chaves de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Network

Define o papel de parede a área de trabalho do sistema como a seguinte imagem:

Encerramento de processo

Ele encerra processos ou serviços que contenham qualquer uma das seguintes strings, se encontrados executando na memória do sistema infectado:

  • taskmgr.exe
  • regedit.exe

Outros detalhes

Ele criptografa arquivos com as extensões a seguir:

  • *.dbf
  • *.mdb
  • *.mde
  • *.xls
  • *.xlw
  • *.docx
  • *.doc
  • *.cer
  • *.key
  • *.rtf
  • *.xlsm
  • *.xlsx
  • *.txt
  • *.xlc
  • *.docm
  • *.xlk
  • *.text
  • *.ppt
  • *.djvu
  • *.pdf
  • *.lzo
  • *.djv
  • *.cdx
  • *.cdt
  • *.cdr
  • *.bpg
  • *.xfm
  • *.dfm
  • *.pas
  • *.dpk
  • *.dpr
  • *.frm
  • *.vbp
  • *.php
  • *.js
  • *.wri
  • *.css
  • *.asm
  • *.jpg
  • *.jpeg
  • *.dbx
  • *.dbt
  • *.odc
  • *.sql
  • *.abw
  • *.pab
  • *.vsd
  • *.xsf
  • *.xsn
  • *.pps
  • *.lzh
  • *.pgp
  • *.arj
  • *.gz
  • *.pst
  • *.xl

  Solução

Mecanismo de varredura mínima: 9.700
VSAPI OPR Pattern Version: 10.657.00
VSAPI OPR Pattern veröffentlicht am: 10 de marzo de 2014

Step 1

Para os usuários do Windows ME e XP, antes de realizar qualquer varredura, verifique se você desabilitou a Restauração do Sistema para permitir a varredura completa do computador.

Step 3

Pesquise e exclua esses arquivos

[ Saber mais ]
Pode ser que alguns arquivos de componente estejam ocultos. Verifique se a caixa de seleção Pesquisar pastas e arquivos ocultos em 'Mais opções avançadas' está marcada para incluir todas as pastas e arquivos ocultos no resultado da pesquisa.  
  • %Application Data%\BitCrypt.txt
  • %Application Data%\BitCrypt.bmp
  • %Application Data%\bitcrypt.ccw

Step 4

Restaurando chaves de registro exclui´das

  1. Ainda no Editor de Registro, no painel a` esquerda, clique duas vezes em:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
    Control>SafeBoot>Minimal
  2. Clique com o bota~o direito do mouse na chave e selecione Nova>Chave. Altere o valor da nova chave para:
    {4D36E967-E325-11CE-BFC1-08002BE10318}
  3. Clique com o bota~o direito do mouse no nome do valor e selecione Modificar. Altere os dados do valor desta entrada para:
    DiskDrive
  4. No painel a` esquerda, clique duas vezes em:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
    Control>SafeBoot>Network
  5. Clique com o bota~o direito do mouse na chave e selecione Nova>Chave. Altere o valor da nova chave para:
    {4D36E967-E325-11CE-BFC1-08002BE10318}
  6. Clique com o bota~o direito do mouse no nome do valor e selecione Modificar. Altere os dados do valor desta entrada para:
    DiskDrive
  7. Feche o Editor de Registro.
'

Step 5

Faça uma varredura em seu computador com o produto Trend Micro para excluir os arquivos detectados como TROJ_CRIBIT.B Se os arquivos detectados já tiverem sido limpos, excluídos ou colocados em quarentena pelo seu produto da Trend Micro, nada mais é necessário. Você pode optar por simplesmente excluir os arquivos em quarentena. Para obter mais informações, verifique a página da Base de Conhecimento.


Participe da nossa pesquisa!

Arquivo correspondente