Análisis realizado por : Miguel Carlo Ang   

 Alias

Trojan-Ransom.Win32.Cryptodef.civ(Kaspersky);Ransom:Win32/Crowti.A(Microsoft);RDN/Spybot.bfr!p(McAfee)

 Plataforma:

Windows

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
 Revelación de la información:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Trojan

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción

Canal de infección Descargado de Internet, Eliminado por otro tipo de malware


  Detalles técnicos

Tamaño del archivo 124,416 bytes
Tipo de archivo EXE
Residente en memoria
Fecha de recepción de las muestras iniciales 09 Mar 2015
Carga útil Connects to URLs/IPs, Drops files

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %System Root%\(8 random characters)\{8 random characters}.exe
  • %Application Data%\(8 random characters).exe
  • %User Startup%\(8 random characters).exe

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

. %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{8 random characters} = "%System Root%\(8 random characters)\{8 random characters}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{9 random characters} = "%Application Data%\{8 random characters}.exe"

Este malware infiltra el/los archivo(s) siguiente(s) en la carpeta de inicio del usuario de Windows para permitir su ejecución automática cada vez que se inicia el sistema:

  • %User Startup%\(8 random characters).exe

(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).

)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\{UID}
{random 2 characters} = "{RSA PUBLIC KEY} "

HKEY_CURRENT_USER\Software\{UID}
{random 2 characters} = {content of HELP_DECRYPT.TXT}

HKEY_CURRENT_USER\Software\{UID}
{random 2 characters} = {content of HELP_DECRYPT.HTML}

HKEY_CURRENT_USER\Software\{UID}
{random 2 characters} = {content of HELP_DECRYPT.URL}

HKEY_CURRENT_USER\Software\{UID}\
{random key}
{Full file path of encrypted file} = {data}

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SystemRestore
DisableSR = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\BITS
Start = 4

(Note: The default value data of the said registry entry is 3.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
Start = 4

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = 4

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = 4

(Note: The default value data of the said registry entry is 2.)