Análisis realizado por : Nikko Tamana   
 Alias

Generic.Ransom.Magniber.F8E5B4A7 (Bitdefender), a variant of Win32/Filecoder.Magniber.A trojan (NOD32)

 Plataforma:

Windows

 Riesgo general:
 Potencial de destrucción:
 Infección divulgada:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Ransomware

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción

Utiliza el Programador de tareas de Windows para crear una tarea programada que ejecute las copias que infiltra. Se ejecuta y, a continuación, se elimina.

  Detalles técnicos

Tamaño del archivo 48,640 bytes
Tipo de archivo EXE
Fecha de recepción de las muestras iniciales 23 Oct 2017

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %User Temp%\fprgbk.exe

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Agrega los procesos siguientes:

  • "cmd.exe" /c "%System%\wbem\wmic shadowcopy delete"
  • %System%\eventvwr.exe
  • ping localhost -n 3
  • schtasks /create /SC MINUTE /MO 15 /tn fprgbk /TR pcalua.exe -a %User Temp%\fprgbk.exe
  • schtasks /create /SC MINUTE /MO 15 /tn {random alphanumeric characteristics} /TR %User Temp%\READ_ME_FOR_DECRYPT_{random alphanumeric characteristics}_.txt
  • pcalua.exe -a eventvwr.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Utiliza el Programador de tareas de Windows para crear una tarea programada que ejecute las copias que infiltra.

Se ejecuta y, a continuación, se elimina.