Análisis realizado por : Mar Philip Elaurza   

 Alias

Ransom:Win32/Tescrypt!rfn (Microsoft), Ransom.FileCryptor (Malwarebytes)Trojan/Win32.Teslacrypt (AhnLab-V3)

 Plataforma:

Windows

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
 Revelación de la información:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Trojan

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción

Este malware modifica la configuración de zona de Internet Explorer.

Se conecta a determinados sitios Web para enviar y recibir información.

  Detalles técnicos

Tamaño del archivo 409,600 bytes
Tipo de archivo EXE
Residente en memoria No
Fecha de recepción de las muestras iniciales 02 Nov 2015

Instalación

Infiltra y ejecuta los archivos siguientes:

  • %Application Data%\{5 random letters}-a.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
askjhfaskewrtewtertwert123 = %Application Data%\{5 random letters}-a.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
askjhfaskewrtewtertwert123 = %Application Data%\{5 random letters}-a.exe

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\zsys

HKEY_CURRENT_USER\Software\{installation ID}

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnabledLinkConnections = 1

HKEY_CURRENT_USER\Software\{installation ID}
data = {encryption information}

HKEY_CURRENT_USER\Software\zsys
ID = {installation ID}

Modificación de la página de inicio y de la página de búsqueda del explorador Web

Este malware modifica la configuración de zona de Internet Explorer.

Rutina de infiltración

Infiltra los archivos siguientes:

  • %User Profile%\Documents\recover_file_{random letters}.txt
  • %Desktop%\howto_recover_file_{random letters}.txt
  • %Desktop%\howto_recover_file_{random letters}.html
  • %Desktop%\howto_recover_file_{random letters}.bmp

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

. %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).

)

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

  • http://{BLOCKED}control.com/exporterofgiftitems.com/wp-admin/misc.php?{data}
  • http://{BLOCKED}cam.com/wp-content/themes/twentythirteen/misc.php?{data}
  • http://{BLOCKED}hthaidieplonghong.com.vn/misc.php?{data}
  • http://{BLOCKED}tfilma.com/modules/misc.php?{data}
  • http://{BLOCKED}mfort.com/modules/misc.php?{data}
  • http://{BLOCKED}nect.it/misc.php?{data}

Abre los archivos siguientes:

  • dropped %Desktop%\howto_recover_file_{random letters}.txt
  • dropped %Desktop%\howto_recover_file_{random letters}.html
  • dropped %Desktop%\howto_recover_file_{random letters}.bmp

(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).

)