Análisis realizado por : Nikko Tamana   
 Alias

DeepScan:Generic.Ransom.Amnesia.F42DEF8A (Bitdefender), Trj/RansomCrypt.D (Panda)

 Plataforma:

Windows

 Riesgo general:
 Potencial de destrucción:
 Infección divulgada:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Ransomware

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción


  Detalles técnicos

Tamaño del archivo 67072 bytes
Tipo de archivo EXE
Fecha de recepción de las muestras iniciales 02 Nov 2017

Instalación

Infiltra los archivos siguientes:

  • %User Temp%\{GUID}.bat

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %Application Data%\Ghrome.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Agrega los procesos siguientes:

  • %System%\cmd.exe /c vssadmin Delete Shadows /for=C: /All
  • %System%\cmd.exe /c vssadmin Delete Shadows /for=D: /All
  • %System%\cmd.exe /c vssadmin Delete Shadows /for=E: /All
  • %System%\cmd.exe /c vssadmin Delete Shadows /for=F: /All
  • %System%\cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
  • %System%\cmd.exe /c wmic SHADOWCOPY DELETE
  • %System%\cmd.exe /c vssadmin Delete Shadows /All /Quiet
  • %System%\cmd.exe /c bcdedit /set {default} recoveryenabled No
  • %System%\cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Deja archivos de texto a modo de notas de rescate que contienen lo siguiente:

  • {encrypted file path}\HOW TO RECOVER ENCRYPTED FILES.TXT

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKCU\Software\Microsoft\
Windows\CurrentVersion\RunOnce
{B5135AD2-D7D9-FFDC-0A8E-143026FB1938} = %Application Data%\Ghrome.exe

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKCU\Software\{B5135AD2-D7D9-FFDC-0A8E-143026FB1938}