RANSOM_CRYPRAAS.B

This ransomware is a variant of Encryptor RaaS, a popular Ransomware as a Service (RaaS) that came out in July 2015. RANSOM_CRYPRAAS.B is known to encrypt files on Linux servers, as well as desktops.

To get a one-glance comprehensive view of the behavior of this Trojan, refer to the Threat Diagram shown below.

This Trojan arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Arrival Details

This Trojan arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Dropping Routine

This Trojan drops the following files:

• {Folders containing encrypted files}\readme_liesmich_encryptor_raas_{customer ID}.txt-serves as ransom note

Other Details

This Trojan does the following:

• Exludes the following files from encrypting:
  • wallet.dat
  • electrum.dat
• Encrypts files with filenames that contains the following strings and extensions:
  • 0
  • -0
  • 000
  • 001
  • 002
  • 003
  • 004
  • 005
  • 006
  • 007
  • 008
  • 009
  • 1
  • -1
  • 10
  • -10
  • 11
  • -11
  • 12
  • -12
  • 13
  • -13
  • 14
  • -14
  • 15
  • -15
  • 16
  • -16
  • 17
  • -17
  • 18
  • -18
  • 19
  • -19
  • 1pa
  • 2
  • -2
  • 2fs
  • 3
  • -3
  • 3dm
  • 3ds
  • 3g2
  • 3gp
  • 4
  • -4
  • 5
  • -5
  • 6
  • -6
  • 7
  • -7
  • 7z
  • 8
  • -8
  • 9
  • -9
  • aac
  • aaf
  • abbu
  • abw
  • accdb
  • adr
  • aep
  • aepx
  • aet
  • ahk
  • ai
  • aif
  • alt
  • ape
  • apk
  • arc
  • arv
  • arw
  • as
  • as3
  • asc
  • asf
  • ashdisc
  • asm
  • asmx
  • asp
  • aspx
  • asx
  • aup
  • avi
  • ba0
  • backup
  • bak
  • bas
  • bbb
  • bc
  • bc!
  • bcmx
  • bdb
  • bde
  • bdf
  • bdg
  • bdi
  • bdk
  • bdl
  • bdm
  • bdmv
  • bdsproj
  • bdw
  • bdx
  • bee
  • ben
  • bes
  • bex
  • bexpk
  • bf
  • bf2
  • bfa
  • bfb
  • bfe
  • bff
  • bgz
  • bhx
  • bib
  • bibtex
  • bik
  • bina
  • bkf
  • bkp
  • bks
  • bkup
  • bmp
  • boe
  • bpl
  • bpn
  • bson
  • btd
  • bz2
  • c
  • c++
  • cad
  • cadp
  • caf
  • cal
  • cbu
  • cc
  • cda
  • cdf
  • cdi
  • cdr
  • cdt
  • cdx
  • cer
  • cert
  • cfc
  • cfg
  • cfm
  • cgi
  • cgn
  • chk
  • chr
  • class
  • clk
  • cmx
  • cnt
  • cod
  • conf
  • cpio
  • cpp
  • cpt
  • cpx
  • cr2
  • crd
  • crt
  • crw
  • crypt7
  • cs
  • csh
  • csl
  • csproj
  • csr
  • csv
  • cue
  • d64
  • data
  • db3
  • dbf
  • dbt
  • dbx
  • dcp
  • dcr
  • dds
  • ddz
  • del
  • dem
  • des
  • deviceids
  • df
  • dfd
  • dfproj
  • dia
  • dif
  • diff
  • dir
  • diz
  • dlc
  • dmg
  • doc
  • docb
  • docm
  • docx
  • dot
  • dotm
  • dotx
  • dqy
  • drw
  • ds4
  • dsb
  • dsf
  • dsn
  • dta
  • dtr
  • dtv
  • dwg
  • dxf
  • ebk
  • eddx
  • edoc
  • efx
  • elfo
  • emf
  • eml
  • emlx
  • enc
  • eps
  • epub
  • es
  • es~
  • ex4
  • exp
  • ezm
  • fdb
  • fdf
  • ff1
  • ffa
  • ffl
  • ffo
  • ffs_db
  • fft
  • ffu
  • ffx
  • fh10
  • fh11
  • fi2
  • fig
  • fil
  • fim
  • fla
  • flac
  • flg
  • flp
  • flv
  • fmd
  • fmv
  • fpt
  • fpx
  • ftp
  • fx0
  • fx1
  • fxr
  • gam
  • gar
  • gbc
  • gcode
  • gem
  • gho
  • ghs
  • gid
  • gif
  • gla
  • gpg
  • gpx
  • gz
  • h
  • h++
  • hbk
  • hdd
  • hds
  • hex
  • hpp
  • hst
  • htc
  • hwp
  • hwp
  • ico
  • ics
  • idml
  • idx
  • if
  • iff
  • iif
  • imb
  • img
  • imh
  • iml
  • imm
  • in0
  • indb
  • indd
  • indl
  • indt
  • ini2
  • int
  • inx
  • ipd
  • iso
  • isz
  • iwa
  • j2k
  • jad
  • jar
  • java
  • jdb
  • jks
  • jmf
  • jp2
  • jpeg
  • jpf
  • jpg
  • jpm
  • jpx
  • json
  • jsp
  • jspa
  • jspx
  • jst
  • k1f
  • kb1
  • kcf
  • kch
  • kcl
  • kdb
  • kdbx
  • key
  • keynote
  • kml
  • kmz
  • knt
  • kpr
  • lbl
  • ld
  • ldif
  • lgb
  • lib
  • lic
  • lis
  • lpd
  • ls
  • ltx
  • lwp
  • lyc
  • lyt
  • lzma
  • m3u
  • m3u8
  • m4a
  • m4u
  • m4v
  • mab
  • mac
  • mail
  • mailhost
  • mar
  • max
  • mb
  • mbox
  • mbs
  • mcs
  • md2
  • mdb
  • mdbackup
  • mddata
  • mde
  • mdf
  • mdi
  • mdinfo
  • mds
  • mdw
  • mdx
  • met
  • mht
  • mhtml
  • mid
  • mke
  • mlm
  • mmf
  • mnu
  • mobileprovision
  • mod
  • mon
  • mov
  • mozeml
  • mp3
  • mp4
  • mpa
  • mpb
  • mpeg
  • mpg
  • mpj
  • mpp
  • mq4
  • mqh
  • mrw
  • ms
  • msf
  • msg
  • mso
  • mswmm
  • mta
  • mts
  • mus
  • mx0
  • myd
  • myf
  • myi
  • nam
  • nap
  • nba
  • nbf
  • nbi
  • nbu
  • nbz
  • nco
  • nd
  • nef
  • nes
  • net
  • new
  • nfo
  • nick
  • nng
  • note
  • nr
  • nrg
  • nri
  • nru
  • ns
  • nws
  • nzb
  • oa4
  • oac
  • odb
  • odc
  • odg
  • odp
  • ods
  • odt
  • ogg
  • old
  • one
  • onepkg
  • ops
  • opt
  • or4
  • orf
  • org
  • otm
  • ott
  • ova
  • ovf
  • ovpn
  • oxps
  • p
  • p12
  • p2i
  • p65
  • p7
  • pages
  • pat
  • patch
  • pbi
  • pbx
  • pcd
  • pct
  • pcx
  • pdf
  • pdfx
  • pehape
  • pem
  • pfb
  • pfq
  • pfx
  • pgp
  • php
  • php3
  • php4
  • php5
  • phps
  • phpx
  • phpxx
  • phtm
  • phtml
  • pic
  • pid
  • pins
  • pip
  • pk
  • pl
  • plb
  • plist
  • plt
  • pm1
  • pmd
  • pmk
  • pmm
  • pmx
  • pnf
  • png
  • pot
  • potm
  • potx
  • pp4
  • pp5
  • ppa
  • ppam
  • ppdf
  • ppf
  • ppj
  • pps
  • ppsm
  • ppsx
  • ppt
  • pptm
  • pptx
  • pref
  • prn
  • prproj
  • prt
  • ps
  • ps1
  • psd
  • psp
  • pspimage
  • pst
  • ptb
  • ptn
  • ptn2
  • ptx
  • pub
  • pvm
  • pwd
  • pwi
  • px
  • py
  • pym
  • qba
  • qbb
  • qbi
  • qbm
  • qbo
  • qbp
  • qbquery
  • qbr
  • qbw
  • qbx
  • qby
  • qcn
  • qcow
  • qcow2
  • qpd
  • qsm
  • qss
  • qst
  • qt
  • qwc
  • qxp
  • r0
  • ra
  • raf
  • rar
  • raw
  • rb
  • rdp
  • recipients
  • recipientsbackup0
  • recipientsbackup1
  • recipientsbackup2
  • recipientsbackup3
  • recipientsbackup4
  • recipientsbackup5
  • recipientsbackup6
  • recipientsbackup7
  • recipientsbackup8
  • recipientsbackup9
  • repl
  • rif
  • riff
  • rm
  • rpb
  • rpmsg
  • rtf
  • rtp
  • rw2
  • s
  • sam
  • sav
  • sb
  • sbf
  • schd
  • sct
  • scv
  • sda
  • sdc
  • sdf
  • sdi
  • sds
  • sdx
  • sdy
  • secure
  • seed
  • sel
  • seq
  • ses
  • set
  • sfs
  • sfv
  • shlb
  • shs
  • shw
  • skb
  • skd
  • skp
  • sldm
  • sldx
  • slf
  • slk
  • sln
  • slt
  • sme
  • smk
  • smm
  • smp
  • smr
  • sms
  • spb
  • spi
  • spro
  • sql
  • sqlite
  • sqlitedb
  • srp
  • srt
  • srv
  • ssc
  • ssi
  • sss
  • stf
  • stg
  • stl
  • stw
  • sub
  • suo
  • svg
  • swf
  • sxw
  • symbolmap
  • syncdb
  • tag
  • tar
  • tav
  • tb3
  • tc
  • tdl
  • tex
  • tga
  • thm
  • thmx
  • tib
  • tif
  • tiff
  • tlg
  • tlx
  • toast
  • torrent
  • tpl
  • ts
  • tv
  • tvc
  • txt
  • ucd
  • ufo
  • user
  • v30
  • val
  • vbk
  • vcard
  • vcd
  • vcf
  • vcs
  • vcxproj
  • vdi
  • vfs4
  • vhd
  • vhdx
  • vir
  • vmc
  • vmdk
  • vmx
  • vob
  • vrge08contact
  • vsd
  • vsv
  • wab
  • wallet
  • war
  • wav
  • wbk
  • wbverify
  • wc
  • wdseml
  • webarchive
  • webm
  • whtt
  • wi
  • wim
  • win
  • wk3
  • wk4
  • wlt
  • wma
  • wmb
  • wmf
  • wmv
  • workflow
  • wpb
  • wpd
  • wpg
  • wpl
  • wps
  • wsb
  • xcf
  • xdw
  • xed
  • xg0
  • xg1
  • xg2
  • xla
  • xlam
  • xlg
  • xlk
  • xll
  • xlm
  • xlr
  • xls
  • xlsb
  • xlsm
  • xlsx
  • xlt
  • xltm
  • xltx
  • xlw
  • xoml
  • xpm
  • xps
  • xqx
  • xsn
  • xz
  • yg0
  • yg1
  • yg2
  • yuv
  • z
  • zip
  • zipx

NOTES:

The ransom note contains the following: