Análisis realizado por : Hazel Ann Poligratis   

 Alias

Trojan.Ransom.PoisonFang.A (Bitdefender), Trojan-Ransom.PoisonFang (Ikarus)

 Plataforma:

Windows

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
 Revelación de la información:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Ransomware

  • Destructivo?
    No

  • Cifrado
    No

  • In the Wild:

  Resumen y descripción

Canal de infección A través de las unidades físicas / extraíble, Descargado de Internet

Deshabilita los servicios antivirus. El objetivo es permitir a este malware ejecutar sus rutinas y evitar su eliminación del sistema.

  Detalles técnicos

Tamaño del archivo 366,592 bytes
Tipo de archivo , EXE
Residente en memoria
Fecha de recepción de las muestras iniciales 10 Jul 2018
Carga útil Connects to URLs/IPs, Disables services, Terminates processes, Encrypts files, Displays message/message boxes

Instalación

Infiltra los archivos siguientes:

  • %Windows%\fang.ico
  • %Windows%\P0150N\AngleSharp.dll
  • %Windows%\P0150N\Bunifu_UI_v1.5.3.dll
  • %Windows%\P0150N\EntityFramework.dll
  • %Windows%\P0150N\EntityFramework.SqlServer.dll
  • %Windows%\P0150N\NamedPipeWrapper.dll
  • %Windows%\P0150N\Newtonsoft.Json.dll
  • %Windows%\P0150N\PoisonBrowserExtractor.exe (detected as RANSOM_POSIONFANG.THGAOAH)
  • %Windows%\P0150N\PoisonfangService.exe (also detected as RANSOM64_POSIONFANG.THGAOAH)
  • %Windows%\P0150N\PoisonfangUI.exe (also detected as RANSOM64_POSIONFANG.THGAOAH)
  • %Windows%\P0150N\System.Data.SQLite.dll
  • %Windows%\P0150N\System.Data.SQLite.EF6.dll
  • %Windows%\P0150N\System.Data.SQLite.Linq.dll
  • %Windows%\P0150N\x64\SQLite.Interop.dll
  • %Windows%\P0150N\x86\SQLite.Interop.dll

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Crea las carpetas siguientes:

  • %Windows%\P0150N

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Otras modificaciones del sistema

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\Software\Policies\
Microsoft\Windows\OneDrive
DisableFileSyncNGSC = 1

HKEY_CLASSES_ROOT\.fang\DefaultIcon

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\SystemRestore
DisableSR = 1

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\SystemRestore
DisableConfig = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Poisonfang
DelayedAutostart = 0x00000000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Poisonfang
ErrorControl = 0x00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Poisonfang
ImagePath = "%Windows%\P0150N\PoisonfangService.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Poisonfang
ObjectName = LocalSystem

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Poisonfang
Start = 0x00000002

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Poisonfang
Type = 0x00000010

Propagación

Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:

  • drop.exe
  • autorun.inf (drop file for automatic execution)
    • [autorun]
    • UseAutoPlay=1
    • open=drop.exe
    • shell\open\command=drop.exe
    • shell\explore\command=drop.exe

Finalización del proceso

Finaliza los servicios siguientes si los detecta en el sistema afectado:

  • [Disables Other Security Components & Event Logs]
    • wscsvc (Windows Security Center Service)
    • wuauserv (Windows Update AutoUpdate Service)
    • BITS (Background Intelligent Transfer Service)
    • WerSvc (Windows Error Reporting Service)
    • EventSystem (Supports System Event Notification Service)
    • EventLog (Windows Event Log Service)

Deshabilita los servicios antivirus finalizando los servicios siguientes si los encuentra en el sistema afectado:

  • SepMasterService (Symantec Endpoint Protection)
  • SmcService (Symantec Management Client)
  • SNAC (Symantec Network Access Control)
  • mcshield (McAfee On-Access Antivirus Scanner)
  • windefend (Microsoft Windows Defender)
  • msmpsvc (Microsoft Protection Service)
  • msmpeng (Windows Defender Core Service)
  • savservice (Sophos Antivirus)
  • aveservice (Avira GmbH AntiVir AVE Service)
  • \"avast! antivirus\" (Avast Antivirus)
  • immunetprotect (Immunet Antivirus)
  • fsma (Fsecure)
  • antivirservice (Antivir Service)
  • avguard (Avira Free Antivirus)
  • fpavserver (F-PROT Antivirus system service)
  • pshost (Panda Host Service)
  • pavsrv (Panda Antivirus Service)
  • bdss (Bitdefender Scan Server)
  • abmainsv (ArcaBit Main Service)
  • ikarus-guardx (Ikarus Antivirus)
  • ekrn (Eset Nod32)
  • avkproxy (G Data AntiVirus Proxy)
  • klblmain (Kaspersky Anti-Virus Service)
  • vbservprof (VirusBuster)
  • clamav (ClamAV antivirus)
  • SBAMSvc (Sunbelt Software Anti Malware Service)
  • navapsvc (Norton AntiVirus Auto-Protect Service)
  • AVP (Kaspersky Internet Security)
  • bdagent (Bitdefender Agent)
  • bdwxtag (bitdefender wallet agent)

Otros detalles

Cifra los archivos con las extensiones siguientes:

  • .123
  • .3dm
  • .3ds
  • .3g2
  • .3gp
  • .602
  • .7z
  • .ARC
  • .PAQ
  • .accdb
  • .aes
  • .ai
  • .asc
  • .asf
  • .asm
  • .asp
  • .avi
  • .backup
  • .bak
  • .bat
  • .bmp
  • .brd
  • .bz2
  • .cgm
  • .class
  • .cmd
  • .cpp
  • .crt
  • .csr
  • .csv
  • .db
  • .dbf
  • .dch
  • .der
  • .dif
  • .dip
  • .djvu
  • .doc
  • .docb
  • .docm
  • .docx
  • .dot
  • .dotm
  • .dotx
  • .dwg
  • .edb
  • .eml
  • .fla
  • .flv
  • .frm
  • .gif
  • .gpg
  • .gz
  • .hwp
  • .ibd
  • .iso
  • .jar
  • .java
  • .jpeg
  • .jpg
  • .js
  • .jsp
  • .key
  • .lay
  • .lay6
  • .ldf
  • .m3u
  • .m4u
  • .max
  • .mdb
  • .mdf
  • .mid
  • .mkv
  • .mml
  • .mov
  • .mp3
  • .mp4
  • .mpeg
  • .mpg
  • .msg
  • .myd
  • .myi
  • .nef
  • .odb
  • .odg
  • .odp
  • .ods
  • .odt
  • .onetoc2
  • .ost
  • .otg
  • .otp
  • .ots
  • .ott
  • .p12
  • .pas
  • .pdf
  • .pem
  • .pfx
  • .php
  • .pl
  • .png
  • .pot
  • .potm
  • .potx
  • .ppam
  • .pps
  • .ppsm
  • .ppsx
  • .ppt
  • .pptm
  • .pptx
  • .ps1
  • .psd
  • .pst
  • .rar
  • .raw
  • .rb
  • .rtf
  • .sch
  • .sh
  • .sldm
  • .sldx
  • .slk
  • .sln
  • .snt
  • .sql
  • .sqlite3
  • .sqlitedb
  • .stc
  • .std
  • .sti
  • .stw
  • .suo
  • .svg
  • .swf
  • .sxc
  • .sxd
  • .sxi
  • .sxm
  • .sxw
  • .tar
  • .tbk
  • .tgz
  • .tif
  • .tiff
  • .txt
  • .uop
  • .uot
  • .vb
  • .vbs
  • .vcd
  • .vdi
  • .vmdk
  • .vmx
  • .vob
  • .vsd
  • .vsdx
  • .wav
  • .wb2
  • .wk1
  • .wks
  • .wma
  • .wmv
  • .xlc
  • .xlm
  • .xls
  • .xlsb
  • .xlsm
  • .xlsx
  • .xlt
  • .xltm
  • .xltx
  • .xlw
  • .zip
  • .c
  • .py
  • .st

  Soluciones

Motor de exploración mínimo 9.850
Primer archivo de patrones de VSAPI 14.400.05
Primera fecha de publicación de patrones de VSAPI 24 de julio de 2018
Versión de patrones OPR de VSAPI 14.401.00
Fecha de publicación de patrones OPR de VSAPI 25 de julio de 2018

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 3

Reiniciar en modo seguro

[ aprenda más ]

Step 4

Eliminar este valor del Registro

[ aprenda más ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\OneDrive
  • DisableFileSyncNGSC = 1
  • HKEY_CLASSES_ROOT\.fang\DefaultIcon
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\SystemRestore
  • DisableSR = 1
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\SystemRestore
  • DisableConfig = 1
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Poisonfang
  • DelayedAutostart = 0x00000000
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Poisonfang
  • ErrorControl = 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Poisonfang
  • ImagePath = "%Windows%\P0150N\PoisonfangService.exe"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Poisonfang
  • ObjectName = LocalSystem
  • Start = 0x00000002
  • Type = 0x00000010
  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\OneDrive
  • DisableFileSyncNGSC = 1
  • HKEY_CLASSES_ROOT\.fang\DefaultIcon
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\SystemRestore
  • DisableSR = 1
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\SystemRestore
  • DisableConfig = 1
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Poisonfang
  • DelayedAutostart = 0x00000000
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Poisonfang
  • ErrorControl = 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Poisonfang
  • ImagePath = "%Windows%\P0150N\PoisonfangService.exe"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Poisonfang
  • ObjectName = LocalSystem
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Poisonfang
  • Start = 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Poisonfang
  • Type = 0x00000010

Step 5

Buscar y eliminar esta carpeta

[ aprenda más ]
Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todas las carpetas ocultas.
  • %Windows%\P0150N

Step 6

Buscar y eliminar estos archivos

[ aprenda más ]
Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción "Más opciones avanzadas" para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos.
  • %Windows%\fang.ico
  • {Removable Drive Letter}:\drop.exe
  • {Removable Drive Letter}:\autorun.inf
DATA_GENERIC_FILENAME_1
  • En la lista desplegable Buscar en, seleccione Mi PC y pulse Intro.
  • Una vez haya encontrado el archivo, selecciónelo y, a continuación, pulse MAYÚS+SUPR para eliminarlo definitivamente.
  • Repita los pasos 2 a 4 con el resto de archivos:
      • %Windows%\fang.ico
      • {Removable Drive Letter}:\drop.exe
      • {Removable Drive Letter}:\autorun.inf
  • Step 7

    Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como RANSOM64_POSIONFANG.THGAOAH En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.


    Rellene nuestra encuesta!