Análisis realizado por : Anthony Joe Melgarejo   
 Plataforma:

Windows

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
 Revelación de la información:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Trojan

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción


  Detalles técnicos

Tamaño del archivo 788,480 bytes
Tipo de archivo EXE
Fecha de recepción de las muestras iniciales 30 agosto 2015

Instalación

Infiltra los archivos siguientes:

  • %All Users Profile%\Desktop\how to decrypt files.lnk
  • %System Root%\{random numbers}\lsass86vl.exe
  • %System Root%\{random numbers}\howtodecryptaesfiles.htm
  • %System Root%\{random numbers}\howtodecryptaesfiles2.htm
  • %System Root%\{random numbers}\{random numbers}.list
  • %System Root%\ProgramData\svtstcrs\stplsctkvbs.dll
  • %System Root%\ProgramData\svcfnmainstvestvs\stppthmainfv.dll
  • %System Root%\ProgramData\svcfnmainstvestvs\xerrors.txt
  • %System Root%\ProgramData\{random numbers 1}\svchost.exe
  • %System Root%\ProgramData\{random numbers 2}\svchost.exe
  • %System Root%\ProgramData\{random numbers 3}\{random numbers}.bat
  • %System Root%\ProgramData\{random numbers 3}\{random numbers}.txt
  • %System Root%\ProgramData\{random numbers 3}\{random numbers}.dlls
  • %System Root%\ProgramData\{random numbers 4}\{random numbers}.dll
  • %System Root%\ProgramData\{random numbers 4}\{random numbers}fspall1.dll
  • %System Root%\ProgramData\{random numbers 4}\BKR{random numbers}.dll
  • %System Root%\ProgramData\{random numbers 4}\BKR2{random numbers}.dll
  • %System Root%\ProgramData\{random numbers 4}\BDR{random numbers}.dll
  • %System%\{random numbers}.dll
  • %System%\default2.sfx
  • %System%\decryptaesfiles.htm
  • %System%\btlogoffusrsmtv.bat
  • %System%\wblsys32vt86exkdll.dll
  • %System Root%\{random numbers}\svchost.exe

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Crea las carpetas siguientes:

  • %System Root%\{random numbers}
  • %System Root%\ProgramData\svcfnmainstvestvs
  • %System Root%\ProgramData\svtstcrs
  • %System Root%\ProgramData\{random numbers 1}
  • %System Root%\ProgramData\{random numbers 2}
  • %System Root%\ProgramData\{random numbers 3}
  • %System Root%\ProgramData\{random numbers 4}

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Técnica de inicio automático

Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSamSs
ImagePath = {malware file path}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSamSs
DisplayName = "Windows Security Accounts Manager"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSamSs
Description = "The startup of this service signals to other services that the Security Accounts Manager (SAM) is ready to accept other requests. Disabling this service will prevent other services in the system from being notified when the SAM is ready, which may in turn cause those services to fail to start correctly. This service should not be disabled."

Crea las siguientes entradas de registro para activar la ejecución automática del componente infiltrado cada vez que arranque el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
%System Root%\{random numbers}\howtodecryptaesfiles = %System Root%\{random numbers}\howtodecryptaesfiles.htm

Se registra como un servicio del sistema para garantizar su ejecución automática cada vez que se inicia el sistema mediante la introducción de las siguientes claves de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSamSs

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
PCHealth\ErrorReporting
ForceQueueMode = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
PCHealth\ErrorReporting
IncludeShutdownErrs = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\Windows Error Reporting
Disabled = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\Windows Error Reporting
DisableArchive = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\Windows Error Reporting
DisableQueue = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\Windows Error Reporting
DontSendAdditionalData = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\Windows Error Reporting
ForceQueue = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\Windows Error Reporting
LoggingDisabled = "1"

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
PCHealth\ErrorReporting
IncludeMicrosoftApps = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
PCHealth\ErrorReporting
IncludeKernelFaults = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
PCHealth\ErrorReporting
DoReport = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
PCHealth\ErrorReporting
ShowUI = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
PCHealth\ErrorReporting
AllOrNone = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SystemRestore
DisableSR = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\CrashControl
CrashDumpEnabled = "0"

(Note: The default value data of the said registry entry is 3.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\CrashControl
LogEvent = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\FastUserSwitchingCompatibility
Start = "4"

(Note: The default value data of the said registry entry is 3.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\RemoteRegistry
Start = "4"

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sr
Start = "4"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srservice
Start = "4"

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SSDPSRV
Start = "4"

(Note: The default value data of the said registry entry is 3.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WebClient
Start = "4"

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "4"

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"

(Note: The default value data of the said registry entry is 2.)

Otros detalles

Sustituye los nombres de los archivos cifrados por los nombres siguientes:

  • {original filename}(!! to get password email id {victim ID} brinfo15@gmail.com!!).exe