Ransom.Win32.NOESCAPE.D

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Infiltra los archivos siguientes:

• %Application Data%\wallpaper.jpg

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).

Agrega los procesos siguientes:

• wmic SHADOWCOPY DELETE /nointeractive
• wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
• wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
• wbadmin DELETE BACKUP -deleteOldest
• wbadmin DELETE BACKUP -keepVersions:0
• vssadmin Delete Shadows /All /Quiet
• bcdedit /set {default} recoveryenabled No
• bcdedit /set {default} bootstatuspolicy ignoreallfailures

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• Global\{Hash of Machine GUID}

Otras modificaciones del sistema

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
ConsentPromptBehaviorAdmin = 0

(Note: The default value data of the said registry entry is 5.)

Este malware establece la imagen siguiente como fondo de escritorio del sistema:

• %Application Data%\wallpaper.jpg
  

Finalización del proceso

Finaliza los servicios siguientes si los detecta en el sistema afectado:

• Culserver
• DefWatch
• GxBlr
• GxCIMgr
• GxCVD
• GxFWD
• GxVss
• QBCFMonitorService
• QBIDPService
• RTVscan
• SavRoam
• VMAuthdService
• VMUSBArbService
• VMnetDHCP
• VMwareHostd
• backup
• ccEvtMgr
• ccSetMgr
• dbeng8
• dbsrv12
• memtas
• mepocs
• msexchange
• msmdsrv
• sophos
• sql
• sqladhlp
• sqlagent
• sqlbrowser
• sqlservr
• sqlwriter
• svc$
• tomcat6
• veeam
• vmware-
• converter
• vmware-usbarbitator64
• vss

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

• 360doctor
• 360se
• Culture
• Defwatch
• GDscan
• MsDtSrvr
• QBCFMonitorService
• QBDBMgr
• QBIDPService
• QBW32
• RAgui
• RTVscan
• agntsvc
• agntsvcencsvc
• agntsvcisqlplussvc
• anvir
• anvir64
• apache
• axlbridge
• backup
• ccleaner
• ccleaner64
• dbeng50
• dbsnmp
• encsvc
• excel
• far
• fdhost
• fdlauncher
• httpd
• infopath
• isqlplussvc
• java
• kingdee
• msaccess
• msftesql
• mspub
• mydesktopqos
• mydesktopservice
• mysqld-nt
• mysqld-opt
• mysqld
• ncsvc
• ocautoupds
• ocomm
• ocssd
• onedrive
• onenote
• oracle
• outlook
• powerpnt
• procexp
• qbupdate
• sqbcoreservice
• sql
• sqlagent
• sqlbrowser
• sqlmangr
• sqlserver
• sqlservr
• sqlwriter
• steam
• supervise
• synctime
• taskkill
• tasklist
• tbirdconfig
• thebat
• thunderbird
• tomcat
• tomcat6
• u8
• ufida
• visio
• wdsw
• fsafe
• winword
• wordpad
• wuau
• clt
• wxServer
• wxServerView
• xfssvccon

Robo de información

Recopila los siguientes datos:

• Host Name
• IP Address

Otros detalles

Hace lo siguiente:

• Empties Recycle Bin
• It encrypts files from local drives, removable drives, and network shares.