RANSOM_HPCRYPTXXX.SM
Ransom:Win32/Exxroute (Microsoft)
PLATFORM:
Windows
OVER ALL RISK RATING:
DAMAGE POTENTIAL::
DISTRIBUTION POTENTIAL::
REPORTED INFECTION:
INFORMATION EXPOSURE:
Low
Medium
High
Critical
Threat Type:
Trojan
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
File size: 343,040 bytes
File type: DLL
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 24 мая 2016
Instalación
Infiltra los archivos siguientes:
- {malware path}\svchost.exe
- %User Startup%\{random}.lnk
- %User Startup%\{random}.bmp
- %User Startup%\{random}.html
- %All Users Profile%\Application Data\{random}.key
- {folders containing encrypted files}\!Recovery_{random}.html
- {folders containing encrypted files}\!Recovery_{random}.bmp
- {folders containing encrypted files}\!Recovery_{random}.txt
- %Start Menu%\!Recovery_{random}.html
- %Start Menu%\!Recovery_{random}.bmp
- %Start Menu%\!Recovery_{random}.txt
(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).
. %Start Menu% es la carpeta Menú Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Menú Inicio).)Otros detalles
Sustituye los nombres de los archivos cifrados por los nombres siguientes:
- {original filename.file extension}.crypt
SOLUTION
Minimum scan engine: 9.800
First VSAPI Pattern File: 12.546.06
First VSAPI Pattern Release Date: 24 de мая de 2016
VSAPI OPR PATTERN-VERSION: 12.547.00
VSAPI OPR PATTERN DATE: 25 de мая de 2016