TROJ_CRILOCK.YNG

Publish Date: 21 de października de 2014

Author: RonJay Kristoffer Caragay

Ransom:Win32/Teerac (Microsoft); Trojan-Ransom.Win32.Cryptolocker.cg (Kaspersky); Trojan-Ransom.Win32.Cryptolocker (Ikarus); Win32/Filecoder.DI (ESET-NOD32)

PLATFORM:

Windows

OVER ALL RISK RATING:

DAMAGE POTENTIAL::

DISTRIBUTION POTENTIAL::

REPORTED INFECTION:

INFORMATION EXPOSURE:

Low

Medium

High

Critical

Threat Type:
Trojan
Destructiveness:
No
Encrypted:
Yes
In the wild::
Yes

OVERVIEW

INFECTION CHANNEL: Descargado de Internet, Se envía como spam vía correo electrónico

Se conecta a determinados sitios Web para enviar y recibir información.

TECHNICAL DETAILS

File size: 457,216 bytes

File type: EXE

Memory resident: Yes

INITIAL SAMPLES RECEIVED DATE: 16 de października de 2014

PAYLOAD: Connects to URLs/IPs, Displays message/message boxes

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

%Windows%\{random 8 letters}.exe

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

%All Users Profile%\Application Data\{random folder name}\00000000
%All Users Profile%\Application Data\{random folder name}\01000000 ← encrypted copy of itself
%All Users Profile%\Application Data\{random folder name}\02000000
%All Users Profile%\Application Data\{random folder name}\03000000 ← encrypted copy of ransom note
%All Users Profile%\Application Data\{random folder name}\04000000

Agrega los procesos siguientes:

explorer.exe

Este malware inyecta códigos en el/los siguiente(s) proceso(s):

created explorer.exe

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random letters} = "%Windows%\{random 8 letters}.exe"

Robo de información

Recopila los siguientes datos:

Machine GUID
Computer name

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

http://{BLOCKED}pics.ru/topic.php

Cifra los archivos con las extensiones siguientes:

wb2
psd
p7c
p7b
p12
pfx
pem
crt
cer
der
pl
py
lua
css
js
asp
php
incpas
asm
hpp
h
cpp
c
7z
zip
rar
drf
blend
apj
3ds
dwg
sda
ps
pat
fxg
fhd
fh
dxb
drw
design
ddrw
ddoc
dcs
csl
csh
cpi
cgm
cdx
cdrw
cdr6
cdr5
cdr4
cdr3
cdr
awg
ait
ai
agd1
ycbcra
x3f
stx
st8
st7
st6
st5
st4
srw
srf
sr2
sd1
sd0
rwz
rwl
rw2
raw
raf
ra2
ptx
pef
pcd
orf
nwb
nrw
nop
nef
ndd
mrw
mos
mfw
mef
mdc
kdc
kc2
iiq
gry
grey
gray
fpx
fff
exf
erf
dng
dcr
dc2
crw
craw
cr2
cmt
cib
ce2
ce1
arw
3pr
3fr
mpg
jpeg
jpg
mdb
sqlitedb
sqlite3
sqlite
sql
sdf
sav
sas7bdat
s3db
rdb
psafe3
nyf
nx2
nx1
nsh
nsg
nsf
nsd
ns4
ns3
ns2
myd
kpdx
kdbx
idx
ibz
ibd
fdb
erbsql
db3
dbf
db-journal
db
cls
bdb
al
adb
backupdb
bik
backup
bak
bkp
moneywell
mmw
ibank
hbk
ffd
dgc
ddd
dac
cfp
cdf
bpw
bgt
acr
ac2
ab4
djvu
pdf
sxm
odf
std
sxd
otg
sti
sxi
otp
odg
odp
stc
sxc
ots
ods
sxg
stw
sxw
odm
oth
ott
odt
odb
csv
rtf
accdr
accdt
accde
accdb
sldm
sldx
ppsm
ppsx
ppam
potm
potx
pptm
pptx
pps
pot
ppt
xlw
xll
xlam
xla
xlsb
xltm
xltx
xlsm
xlsx
xlm
xlt
xls
xml
dotm
dotx
docm
docx
dot
doc
txt

Sustituye los nombres de los archivos cifrados por los nombres siguientes:

{original file name and extension}.encrypted

SOLUTION

Minimum scan engine: 9.700

First VSAPI Pattern File: 11.216.08

First VSAPI Pattern Release Date: 16 de października de 2014

VSAPI OPR PATTERN-VERSION: 11.217.00

VSAPI OPR PATTERN DATE: 16 de października de 2014

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 3

Reiniciar en modo seguro

[ learnMore ]

Step 4

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- {random letters} = "%Windows%\{random 8 letters}.exe"

Step 5

Buscar y eliminar este archivo

[ learnMore ]

Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos.

%All Users Profile%\Application Data\{random folder name}\00000000
%All Users Profile%\Application Data\{random folder name}\01000000
%All Users Profile%\Application Data\{random folder name}\02000000
%All Users Profile%\Application Data\{random folder name}\03000000
%All Users Profile%\Application Data\{random folder name}\04000000
DECRYPT_INSTRUCTIONS.html

Step 6

Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como TROJ_CRILOCK.YNG En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.

Did this description help? Tell us how we did.

TROJ_CRILOCK.YNG

OVERVIEW

TECHNICAL DETAILS

SOLUTION

Verwandte Blog-Einträge

Zasoby

Wsparcie

O firmie Trend

TROJ_CRILOCK.YNG

OVERVIEW

TECHNICAL DETAILS

SOLUTION

Verwandte Blog-Einträge

Zasoby

Wsparcie

O firmie Trend

Obie Ameryki

Bliski Wschód i Afryka

Europa

Azja i Pacyfik