Análisis realizado por : Pearl Charlaine Espejo   
 Alias

Troj/Ransom-ARD (Sophos); Luhe.Fiha.A (AVG); UDS:DangerousObject.Multi.Generic (Kaspersky); Trojan.ZBAgent.NS (Malwarebytes); Trojan.Win32.Generic.pak!cobra (VIPRE)

 Plataforma:

Windows

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
 Revelación de la información:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Trojan

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción

Canal de infección Descargado de Internet


  Detalles técnicos

Tamaño del archivo 741,849 bytes
Tipo de archivo EXE
Fecha de recepción de las muestras iniciales 06 de marzo de 2015
Carga útil Connects to URLs/IPs, Encrypts files, Displays graphics/image, Displays message/message boxes

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

  • %User Temp%\{random filename}.exe

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Infiltra los archivos siguientes:

  • %Application Data%\AAMC-10-KeyBio.pdf
  • %ProgramData%\{randomly selected folder}\{random filename} (for Windows Vista and above) - private key
  • %All Users Profile%\Application Data\{randomly selected folder}\{random filename} (for Windows XP and below) - private key
  • %All Users profile%\{random filename}.html (for Windows Vista and above) - contains ransom note and list of encrypted files
  • %ProgramData%\{random filename}.html (for Windows Vista and above) - contains ransom note and list of encrypted files
  • %All Users Profile%\Application Data\{random filename}.html (for Windows XP and below) - contains ransom note and list of encrypted files
  • %User Profile%\Documents\!Decrypt-All-Files-{random letters}.bmp (for Windows Vista and above) - wallpaper
  • %User Profile%\Documents\!Decrypt-All-Files-{random letters}.txt (for Windows Vista and above) - ransom note in .txt file
  • %User Profile%\My Documents\!Decrypt-All-Files-{random letters}.bmp (for Windows XP and below) - wallpaper
  • %User Profile%\My Documents\!Decrypt-All-Files-{random letters}.txt (for Windows XP and below) - ransom note in .txt file

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Técnica de inicio automático

Infiltra los archivos siguientes:

  • %System%\Tasks\{random filename} (for Windows Vista and above)
  • %Windows%\Tasks\{random filename}.job (for Windows XP and below)

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Otras modificaciones del sistema

Cambia el fondo de escritorio mediante la modificación de las siguientes entradas de registro:

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = "0"

(Note: The default value data of the said registry entry is {user-defined}.)

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%User Profile%\{Documents or My Documents}\!Decrypt-All-Files-{random letters}.bmp"

(Note: The default value data of the said registry entry is {user-defined}.)