Ransom.Win32.GANDCRAB.TIOIBOCH

Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos envían como spam.

Se conecta a determinados sitios Web para enviar y recibir información.

Detalles de entrada

Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos envían como spam.

Instalación

Infiltra los archivos siguientes:

• %User Temp%\bxmeoengtf.bmp
• {Encrypted Folder}\{Random}-MANUAL.txt

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• AversSucksForever

Otras modificaciones del sistema

Cambia el fondo de escritorio mediante la modificación de las siguientes entradas de registro:

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%User Temp%\bxmeoengtf.bmp"

Este malware establece la imagen siguiente como fondo de escritorio del sistema:

Finalización del proceso

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

• agntsvc.exe
• dbeng50.exe
• dbsnmp.exe
• encsvc.exe
• excel.exe
• firefoxconfig.exe
• infopath.exe
• isqlplussvc.exe
• msaccess.exe
• msftesql.exe
• mspub.exe
• mydesktopqos.exe
• mydesktopservice.exe
• mysqld-nt.exe
• mysqld-opt.exe
• mysqld.exe
• ocautoupds.exe
• ocomm.exe
• ocssd.exe
• onenote.exe
• oracle.exe
• outlook.exe
• powerpnt.exe
• sqbcoreservice.exe
• sqlagent.exe
• sqlbrowser.exe
• sqlservr.exe
• sqlwriter.exe
• steam.exe
• synctime.exe
• tbirdconfig.exe
• thebat.exe
• thebat64.exe
• thunderbird.exe
• visio.exe
• winword.exe
• wordpad.exe
• xfssvccon.exe

Robo de información

Recopila los siguientes datos:

• Username
• Computer Name
• Network Information
• System Language
• Machine Keyboard Layout
• OS Version and Platform
• AV Products Installed
• Processor Information
• IP Address
• Drives Information (Nerwork or Local)
• Ransom ID
• GandCrab Internal Info:
  • id
  • sub_id
  • version
  • action

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• http://{URL}/{string1}/{string2}/{string3}.{string4}
• Where URL is equal to the following:
  • www.{BLOCKED}e.com
  • www.{BLOCKED}rsport.biz
  • www.{BLOCKED}thotelbasel.com
  • www.{BLOCKED}tarium.org
  • www.{BLOCKED}odge.com
  • www.{BLOCKED}otelzurich.com
  • www.{BLOCKED}enthaus.com
  • www.{BLOCKED}e-hotel.com
  • www.{BLOCKED}ecouronne.com
  • www.{BLOCKED}emontblanc.com
  • www.{BLOCKED}uewiesen.com
  • www.{BLOCKED}ere-locarno.com
  • www.{BLOCKED}us-toni.com
  • www.{BLOCKED}sel.com
  • www.{BLOCKED}iinfissi.com
  • www.{BLOCKED}acolline.com
  • www.{BLOCKED}t.com
  • www.{BLOCKED}l-adelboden.com
  • www.{BLOCKED}o.net
  • www.{BLOCKED}esurcoux.net
  • www.{BLOCKED}egas-avocats.net
  • www.{BLOCKED}e-d-hote-chez-fleury.com
  • www.{BLOCKED}ge.com
  • www.{BLOCKED}n.org
  • www.{BLOCKED}h.mehrmarken.net
  • www.{BLOCKED}iel.com
  • www.{BLOCKED}otel.com
  • www.{BLOCKED}entalchalet.com
  • www.{BLOCKED}z.com
  • www.{BLOCKED}ok.com
  • www.{BLOCKED}ht.net
  • www.{BLOCKED}gs-hotel.com
  • www.{BLOCKED}ay.biz
  • www.{BLOCKED}-schwyn.mehrmarken.net
  • www.{BLOCKED}le.net
  • www.{BLOCKED}a.frasershospitality.com
  • www.{BLOCKED}golf.com
  • www.{BLOCKED}elier.net
  • www.{BLOCKED}nau.biz
  • www.{BLOCKED}ckhoteldavos.com
  • www.{BLOCKED}neva.com
  • www.{BLOCKED}ck.biz
  • www.{BLOCKED}blumental.com
  • www.{BLOCKED}zermatt.com
  • www.{BLOCKED}lbanareal.com
  • www.{BLOCKED}hery.com
  • www.{BLOCKED}reirosen.net
  • www.{BLOCKED}arinet.com
  • www.{BLOCKED}arni-battello.com
  • www.{BLOCKED}lanis.com
  • www.{BLOCKED}ido-lugano.com
  • www.{BLOCKED}lden.com
  • www.{BLOCKED}otonde.com
  • www.{BLOCKED}ruite.com
  • www.{BLOCKED}eisshorn.com
  • www.{BLOCKED}moz.com
  • www.{BLOCKED}taad.com
  • www.{BLOCKED}s.com
  • www.{BLOCKED}mmermann.net
  • www.{BLOCKED}orp.link
  • www.{BLOCKED}orp.name
  • www.{BLOCKED}fs.net
  • www.{BLOCKED}egensberg.com
  • www.{BLOCKED}taine.com
  • www.{BLOCKED}une.net
  • www.{BLOCKED}le-haus.org
  • www.{BLOCKED}nt-hubert.com
  • www.{BLOCKED}emond.com
  • www.{BLOCKED}hof.com
  • www.{BLOCKED}hoteladmiral.com
  • www.{BLOCKED}e.com
  • www.{BLOCKED}e-residenza.com
  • www.{BLOCKED}inhostel.com
  • www.{BLOCKED}alzermatt.com
  • www.{BLOCKED}oiffure.ch
  • www.{BLOCKED}.org
  • www.{BLOCKED}els.com
  • www.{BLOCKED}adelcentro.net
  • www.{BLOCKED}paradis.com
  • www.{BLOCKED}m.com
  • www.{BLOCKED}uus.com
  • www.{BLOCKED}fure.net
  • www.{BLOCKED}-crosets.com
  • www.{BLOCKED}coiffure-geneve.net
  • www.{BLOCKED}nerhof.com
  • www.{BLOCKED}delberg.com
  • www.{BLOCKED}sprungzimmer24.com
  • www.{BLOCKED}rhotel.com
  • www.{BLOCKED}n.com
  • www.{BLOCKED}ach.com
  • www.{BLOCKED}stophesa.com
  • www.{BLOCKED}ellness.com
  • www.{BLOCKED}el.com
  • www.{BLOCKED}and-garage.mehrmarken.net
  • www.{BLOCKED}ledore.com
  • www.{BLOCKED}rtia.org
  • www.{BLOCKED}x.net
  • www.{BLOCKED}larus.com
  • www.{BLOCKED}od.com
• Where string1 is equal to the following:
  • wp-content
  • static
  • content
  • includes
  • data
  • uploads
  • news
• Where string2 is equal to the following:
  • images
  • pictures
  • image
  • graphic
  • assets
  • pics
  • imgs
  • tmp
• Where string3 is equal to the combination of the following:
  • im
  • de
  • ka
  • ke
  • am
  • es
  • so
  • fu
  • se
  • da
  • he
  • ru
  • me
  • mo
  • th
  • zu
• Where string4 is equal to the following:
  • jpg
  • png
  • gif
  • bmp