Ransom.Win32.NOESCAPE.C

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Infiltra los archivos siguientes:

• %Application Data%\CoreSvc.exe -> copy of itself
• %Application Data%\wallpaper.jpg

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).

Agrega los procesos siguientes:

• wmic SHADOWCOPY DELETE /nointeractive
• wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
• vssadmin Delete Shadows /All /Quiet
• wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0

Otras modificaciones del sistema

Este malware establece la imagen siguiente como fondo de escritorio del sistema:

• {noescape_wallpaper.png}
  

Finalización del proceso

Finaliza los servicios siguientes si los detecta en el sistema afectado:

• Culserver
• DefWatch
• GxBlr
• GxCIMgr
• GxCVD
• GxFWD
• GxVss
• QBCFMonitorService
• QBIDPService
• RTVScan
• SavRoam
• VMAuthdService
• VMUSBArbService
• VMnetDHCP
• VMwareHostd
• backup
• ccEvtMgr
• ccSetMgr
• dbeng9
• dbsrv12
• memtas
• mepocs
• msexchange
• msmdsrv
• sophos
• sql
• sqladhlp
• sqlagent
• sqlbrowser
• sqlservr
• sqlwriter
• svc$
• tomcat6
• veeam
• cmware-converter
• vmware-usbarbitator64
• vss

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

• 360doctor.exe
• 360se.exe
• Culture.exe
• DefWatch.exe
• GDscan.exe
• MsDtSrvr.exe
• QBCFMonitorService.exe
• QBDBMgr.exe
• QBIDPService.exe
• QBW32.exe
• RAgui.exe
• RTVscan.exe
• agntsvc.exe
• agntsvcencsvc.exe
• agntsvcisqlplussvc.exe
• anvir.exe
• anvir64.exe
• apache.exe
• axlbridge.exe
• backup.exe
• ccleaner.exe
• ccleaner64.exe
• dbeng50.exe
• dbsnmp.exe
• encsvc.exe
• excel.exe
• far.exe
• fdhost.exe
• fdlauncher.exe
• httpd.exe
• infopath.exe
• isqlplussvc.exe
• java.exe
• kingdee.exe
• msaccess.exe
• msftesql.exe
• mspub.exe
• mudesktopqos.exe
• mydesktopservice.exe
• mysqld-nt.exe
• mysqld-opt.exe
• mysqld.exe
• ncsvc.exe
• ocautoupds.exe
• ocomm.exe
• ocssd.exe
• onedrive.exe
• onenote.exe
• oracle.exe
• outlook.exe
• powerpnt.exe
• procexp.exe
• qbupdate.exe
• sqbcoreservice.exe
• sql.exe
• sqlagent.exe
• sqlbrowser.exe
• sqlmangr.exe
• sqlserver.exe
• sqlservr.exe
• sqlwriter.exe
• steam.exe
• supervise.exe
• synctime.exe
• taskkill.exe
• tasklist.exe
• tbirdconfig.exe
• thebat.exe
• thunderbird.exe
• tomcat.exe
• tomcat6.exe
• u8.exe
• ufida.exe
• visio.exe
• wdswfsafe.exe
• winword.exe
• wordpad.exe
• wuauclt.exe
• wxServer.exe
• wxServerView.exe
• xfssvcon.exe
• vmcompute.exe
• vmwp.exe
• vmms.exe
• vds.exe

Robo de información

Recopila los siguientes datos:

• System Volume Information
• OS Version
• Username
• Hostname
• Processor Information
• System Language

Otros detalles

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
ConsentPromptBehavior = 0

Hace lo siguiente:

• Encrypts local drives (A: to Z:)
• Encrypts network shares
• Deletes all the system state backups from the system
• Deletes shadow copies