Ransom.Win32.GANDCRAB.WWO

Roba determinada información del sistema y/o del usuario.

Se conecta a determinados sitios Web para enviar y recibir información. Este malware se elimina tras la ejecución.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• %Application Data%\Microsoft\{Random Characters}.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• Global\pc_group={Machine Workgroup}&ransom_id={16 hex values generated by the malware}

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
{Random Characters} = %Application Data%\Microsoft\{Random Characters}.exe

Finalización del proceso

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

• msftesql.exe
• sqlagent.exe
• sqlbrowser.exe
• sqlservr.exe
• sqlwriter.exe
• oracle.exe
• ocssd.exe
• dbsnmp.exe
• synctime.exe
• mydesktopqos.exe
• agntsvc.exeisqlplussvc.exe
• xfssvccon.exe
• mydesktopservice.exe
• ocautoupds.exe
• agntsvc.exeagntsvc.exe
• agntsvc.exeencsvc.exe
• firefoxconfig.exe
• tbirdconfig.exe
• ocomm.exe
• mysqld.exe
• mysqld-nt.exe
• mysqld-opt.exe
• dbeng50.exe
• sqbcoreservice.exe
• excel.exe
• infopath.exe
• msaccess.exe
• mspub.exe
• onenote.exe
• outlook.exe
• powerpnt.exe
• steam.exe
• sqlservr.exe
• thebat.exe
• thebat64.exe
• thunderbird.exe
• visio.exe
• winword.exe
• wordpad.exe

Rutina de infiltración

Infiltra los archivos siguientes:

• %User Temp%\pidor.bmp

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

Robo de información

Roba la siguiente información:

• Machine Workgroup
• Anti Virus Software
• System Language
• Public IP Address
• Username
• Machine Name
• Machine Keyboard Layout
• OS Version and Platform
• Drive letters of drives, type, capacity, and free space

Información sustraída

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• http://{BLOCKED}r.bit/{encrypted stolen information}

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• http://{BLOCKED}r.bit/
• http://{BLOCKED}ware.bit/

Realiza solicitudes DNS a los siguientes sitios:

• {BLOCKED}1.{BLOCKED}vers.ru
• {BLOCKED}2.{BLOCKED}vers.ru
• {BLOCKED}ware.bit
• {BLOCKED}r.bit

Este malware se elimina tras la ejecución.