Ransom.PS1.NETWALKER.B

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Infiltra los archivos siguientes:

• %User Temp%\{random characters}-.tmp
• %User Temp%\{random characters}-.0.cs
• %User Temp%\{random characters}-.dll
• %User Temp%\{random characters}-.cmdline
• %User Temp%\{random characters}-.out
• %User Temp%\{random characters}-.err
• %User Temp%\{random characters}-.pdb
• %User Temp%\{random characters}.tmp
• %User Temp%\{random characters}.0.cs
• %User Temp%\{random characters}.dll
• %User Temp%\{random characters}.cmdline
• %User Temp%\{random characters}.out
• %User Temp%\{random characters}.err
• %User Temp%\{random characters}.pdb

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

Agrega los procesos siguientes:

• %Windows%\Microsoft.NET\Framework\{version}\csc.exe /noconfig /fullpaths @"%User Temp%\{random characters}-.cmdline"
• %Windows%\Microsoft.NET\Framework\{version}\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%User Temp%\{random characters}.tmp"

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\{8 random characters}
{8 random characters} = {hex values}

HKEY_CURRENT_USER\Software\{8 random characters}
{8 random characters} = {hex values}

Finalización del proceso

Finaliza los servicios siguientes si los detecta en el sistema afectado:

• *backup*
• *sql*
• AcronisAgent
• AcrSch2Svc
• acrsch2svc*
• apach*
• ARSM
• backup*
• cbvscserv*
• dc*32
• firebird*
• hMailServer
• IASJet
• IBM Domino*
• ibmiasrw
• IISADMIN
• Lotus*
• MMS
• mr2kserv
• MSExchange*
• omsad
• QB*
• QuickBooksDB*
• server Administrator
• ShadowProtectSvc
• Simply Accounting Database Connection Manager
• SP*4
• SPXService
• sql*
• stc_endpt_svc
• StorageCraft ImageManager
• teamviewer
• veeam*
• vsnapvss
• wbengine
• wrsvc

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

• *sql*
• agent*
• agntsvc.exe
• apach*
• b1*
• ba*
• bd2*
• be*
• bes10*
• black*
• cbservi*
• cbvscserv*
• cfdot*
• coldfus*
• db*
• dbeng50.exe
• dbsnmp.exe
• encsvc.exe
• excel.exe
• fdlaunch*
• firefoxconfig.exe
• hMailServer*
• IBM*
• infopath.exe
• jetty.exe
• msaccess.exe
• msdtssr*
• msmdsrv*
• mspub.exe
• mydesktopqos.exe
• mydesktopservice.exe
• nservice.exe
• nslsvice.exe
• ntrtscan.exe
• ocautoupds.exe
• ocomm.exe
• ocssd.exe
• onenote.exe
• oracle*
• oracle.exe
• outlook.exe
• pg*
• postg*
• powerpnt.exe
• QB*
• report*
• sage*
• sap*
• sqbcoreservice.exe
• sql*
• store.exe
• swag*
• swstrtr*
• synctime.exe
• tbirdconfig.exe
• team*
• thebat.exe
• thebat64.exe
• thunderbird.exe
• vee*
• visio.exe
• wbengine*
• winword.exe
• wordpad.exe
• wrsa.exe
• xfssvccon.exe

Otros detalles

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\{8 random characters}

HKEY_CURRENT_USER\Software\{8 random characters}