RANSOM64_POSIONFANG.THGAOAH

Deshabilita los servicios antivirus. El objetivo es permitir a este malware ejecutar sus rutinas y evitar su eliminación del sistema.

Instalación

Infiltra los archivos siguientes:

• %Windows%\fang.ico
• %Windows%\P0150N\AngleSharp.dll
• %Windows%\P0150N\Bunifu_UI_v1.5.3.dll
• %Windows%\P0150N\EntityFramework.dll
• %Windows%\P0150N\EntityFramework.SqlServer.dll
• %Windows%\P0150N\NamedPipeWrapper.dll
• %Windows%\P0150N\Newtonsoft.Json.dll
• %Windows%\P0150N\PoisonBrowserExtractor.exe (detected as RANSOM_POSIONFANG.THGAOAH)
• %Windows%\P0150N\PoisonfangService.exe (also detected as RANSOM64_POSIONFANG.THGAOAH)
• %Windows%\P0150N\PoisonfangUI.exe (also detected as RANSOM64_POSIONFANG.THGAOAH)
• %Windows%\P0150N\System.Data.SQLite.dll
• %Windows%\P0150N\System.Data.SQLite.EF6.dll
• %Windows%\P0150N\System.Data.SQLite.Linq.dll
• %Windows%\P0150N\x64\SQLite.Interop.dll
• %Windows%\P0150N\x86\SQLite.Interop.dll

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

Crea las carpetas siguientes:

• %Windows%\P0150N

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

Otras modificaciones del sistema

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\Software\Policies\
Microsoft\Windows\OneDrive
DisableFileSyncNGSC = 1

HKEY_CLASSES_ROOT\.fang\DefaultIcon

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\SystemRestore
DisableSR = 1

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\SystemRestore
DisableConfig = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Poisonfang
DelayedAutostart = 0x00000000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Poisonfang
ErrorControl = 0x00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Poisonfang
ImagePath = "%Windows%\P0150N\PoisonfangService.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Poisonfang
ObjectName = LocalSystem

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Poisonfang
Start = 0x00000002

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Poisonfang
Type = 0x00000010

Propagación

Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:

• drop.exe
• autorun.inf (drop file for automatic execution)
  • [autorun]
  • UseAutoPlay=1
  • open=drop.exe
  • shell\open\command=drop.exe
  • shell\explore\command=drop.exe

Finalización del proceso

Finaliza los servicios siguientes si los detecta en el sistema afectado:

• [Disables Other Security Components & Event Logs]
  • wscsvc (Windows Security Center Service)
  • wuauserv (Windows Update AutoUpdate Service)
  • BITS (Background Intelligent Transfer Service)
  • WerSvc (Windows Error Reporting Service)
  • EventSystem (Supports System Event Notification Service)
  • EventLog (Windows Event Log Service)

Deshabilita los servicios antivirus finalizando los servicios siguientes si los encuentra en el sistema afectado:

• SepMasterService (Symantec Endpoint Protection)
• SmcService (Symantec Management Client)
• SNAC (Symantec Network Access Control)
• mcshield (McAfee On-Access Antivirus Scanner)
• windefend (Microsoft Windows Defender)
• msmpsvc (Microsoft Protection Service)
• msmpeng (Windows Defender Core Service)
• savservice (Sophos Antivirus)
• aveservice (Avira GmbH AntiVir AVE Service)
• \"avast! antivirus\" (Avast Antivirus)
• immunetprotect (Immunet Antivirus)
• fsma (Fsecure)
• antivirservice (Antivir Service)
• avguard (Avira Free Antivirus)
• fpavserver (F-PROT Antivirus system service)
• pshost (Panda Host Service)
• pavsrv (Panda Antivirus Service)
• bdss (Bitdefender Scan Server)
• abmainsv (ArcaBit Main Service)
• ikarus-guardx (Ikarus Antivirus)
• ekrn (Eset Nod32)
• avkproxy (G Data AntiVirus Proxy)
• klblmain (Kaspersky Anti-Virus Service)
• vbservprof (VirusBuster)
• clamav (ClamAV antivirus)
• SBAMSvc (Sunbelt Software Anti Malware Service)
• navapsvc (Norton AntiVirus Auto-Protect Service)
• AVP (Kaspersky Internet Security)
• bdagent (Bitdefender Agent)
• bdwxtag (bitdefender wallet agent)

Otros detalles

Cifra los archivos con las extensiones siguientes:

• .123
• .3dm
• .3ds
• .3g2
• .3gp
• .602
• .7z
• .ARC
• .PAQ
• .accdb
• .aes
• .ai
• .asc
• .asf
• .asm
• .asp
• .avi
• .backup
• .bak
• .bat
• .bmp
• .brd
• .bz2
• .cgm
• .class
• .cmd
• .cpp
• .crt
• .csr
• .csv
• .db
• .dbf
• .dch
• .der
• .dif
• .dip
• .djvu
• .doc
• .docb
• .docm
• .docx
• .dot
• .dotm
• .dotx
• .dwg
• .edb
• .eml
• .fla
• .flv
• .frm
• .gif
• .gpg
• .gz
• .hwp
• .ibd
• .iso
• .jar
• .java
• .jpeg
• .jpg
• .js
• .jsp
• .key
• .lay
• .lay6
• .ldf
• .m3u
• .m4u
• .max
• .mdb
• .mdf
• .mid
• .mkv
• .mml
• .mov
• .mp3
• .mp4
• .mpeg
• .mpg
• .msg
• .myd
• .myi
• .nef
• .odb
• .odg
• .odp
• .ods
• .odt
• .onetoc2
• .ost
• .otg
• .otp
• .ots
• .ott
• .p12
• .pas
• .pdf
• .pem
• .pfx
• .php
• .pl
• .png
• .pot
• .potm
• .potx
• .ppam
• .pps
• .ppsm
• .ppsx
• .ppt
• .pptm
• .pptx
• .ps1
• .psd
• .pst
• .rar
• .raw
• .rb
• .rtf
• .sch
• .sh
• .sldm
• .sldx
• .slk
• .sln
• .snt
• .sql
• .sqlite3
• .sqlitedb
• .stc
• .std
• .sti
• .stw
• .suo
• .svg
• .swf
• .sxc
• .sxd
• .sxi
• .sxm
• .sxw
• .tar
• .tbk
• .tgz
• .tif
• .tiff
• .txt
• .uop
• .uot
• .vb
• .vbs
• .vcd
• .vdi
• .vmdk
• .vmx
• .vob
• .vsd
• .vsdx
• .wav
• .wb2
• .wk1
• .wks
• .wma
• .wmv
• .xlc
• .xlm
• .xls
• .xlsb
• .xlsm
• .xlsx
• .xlt
• .xltm
• .xltx
• .xlw
• .zip
• .c
• .py
• .st