Author: Hazel Ann Poligratis   

 

Trojan.Ransom.PoisonFang.A (Bitdefender), Trojan-Ransom.PoisonFang (Ikarus)

 PLATFORM:

Windows

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Ransomware

  • Destructiveness:
    No

  • Encrypted:
    No

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: A través de las unidades físicas / extraíble, Descargado de Internet

Deshabilita los servicios antivirus. El objetivo es permitir a este malware ejecutar sus rutinas y evitar su eliminación del sistema.

  TECHNICAL DETAILS

File size: 366,592 bytes
File type: , EXE
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 10 lipca 2018
PAYLOAD: Connects to URLs/IPs, Disables services, Terminates processes, Encrypts files, Displays message/message boxes

Instalación

Infiltra los archivos siguientes:

  • %Windows%\fang.ico
  • %Windows%\P0150N\AngleSharp.dll
  • %Windows%\P0150N\Bunifu_UI_v1.5.3.dll
  • %Windows%\P0150N\EntityFramework.dll
  • %Windows%\P0150N\EntityFramework.SqlServer.dll
  • %Windows%\P0150N\NamedPipeWrapper.dll
  • %Windows%\P0150N\Newtonsoft.Json.dll
  • %Windows%\P0150N\PoisonBrowserExtractor.exe (detected as RANSOM_POSIONFANG.THGAOAH)
  • %Windows%\P0150N\PoisonfangService.exe (also detected as RANSOM64_POSIONFANG.THGAOAH)
  • %Windows%\P0150N\PoisonfangUI.exe (also detected as RANSOM64_POSIONFANG.THGAOAH)
  • %Windows%\P0150N\System.Data.SQLite.dll
  • %Windows%\P0150N\System.Data.SQLite.EF6.dll
  • %Windows%\P0150N\System.Data.SQLite.Linq.dll
  • %Windows%\P0150N\x64\SQLite.Interop.dll
  • %Windows%\P0150N\x86\SQLite.Interop.dll

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Crea las carpetas siguientes:

  • %Windows%\P0150N

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Otras modificaciones del sistema

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\Software\Policies\
Microsoft\Windows\OneDrive
DisableFileSyncNGSC = 1

HKEY_CLASSES_ROOT\.fang\DefaultIcon

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\SystemRestore
DisableSR = 1

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\SystemRestore
DisableConfig = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Poisonfang
DelayedAutostart = 0x00000000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Poisonfang
ErrorControl = 0x00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Poisonfang
ImagePath = "%Windows%\P0150N\PoisonfangService.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Poisonfang
ObjectName = LocalSystem

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Poisonfang
Start = 0x00000002

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Poisonfang
Type = 0x00000010

Propagación

Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:

  • drop.exe
  • autorun.inf (drop file for automatic execution)
    • [autorun]
    • UseAutoPlay=1
    • open=drop.exe
    • shell\open\command=drop.exe
    • shell\explore\command=drop.exe

Finalización del proceso

Finaliza los servicios siguientes si los detecta en el sistema afectado:

  • [Disables Other Security Components & Event Logs]
    • wscsvc (Windows Security Center Service)
    • wuauserv (Windows Update AutoUpdate Service)
    • BITS (Background Intelligent Transfer Service)
    • WerSvc (Windows Error Reporting Service)
    • EventSystem (Supports System Event Notification Service)
    • EventLog (Windows Event Log Service)

Deshabilita los servicios antivirus finalizando los servicios siguientes si los encuentra en el sistema afectado:

  • SepMasterService (Symantec Endpoint Protection)
  • SmcService (Symantec Management Client)
  • SNAC (Symantec Network Access Control)
  • mcshield (McAfee On-Access Antivirus Scanner)
  • windefend (Microsoft Windows Defender)
  • msmpsvc (Microsoft Protection Service)
  • msmpeng (Windows Defender Core Service)
  • savservice (Sophos Antivirus)
  • aveservice (Avira GmbH AntiVir AVE Service)
  • \"avast! antivirus\" (Avast Antivirus)
  • immunetprotect (Immunet Antivirus)
  • fsma (Fsecure)
  • antivirservice (Antivir Service)
  • avguard (Avira Free Antivirus)
  • fpavserver (F-PROT Antivirus system service)
  • pshost (Panda Host Service)
  • pavsrv (Panda Antivirus Service)
  • bdss (Bitdefender Scan Server)
  • abmainsv (ArcaBit Main Service)
  • ikarus-guardx (Ikarus Antivirus)
  • ekrn (Eset Nod32)
  • avkproxy (G Data AntiVirus Proxy)
  • klblmain (Kaspersky Anti-Virus Service)
  • vbservprof (VirusBuster)
  • clamav (ClamAV antivirus)
  • SBAMSvc (Sunbelt Software Anti Malware Service)
  • navapsvc (Norton AntiVirus Auto-Protect Service)
  • AVP (Kaspersky Internet Security)
  • bdagent (Bitdefender Agent)
  • bdwxtag (bitdefender wallet agent)

Otros detalles

Cifra los archivos con las extensiones siguientes:

  • .123
  • .3dm
  • .3ds
  • .3g2
  • .3gp
  • .602
  • .7z
  • .ARC
  • .PAQ
  • .accdb
  • .aes
  • .ai
  • .asc
  • .asf
  • .asm
  • .asp
  • .avi
  • .backup
  • .bak
  • .bat
  • .bmp
  • .brd
  • .bz2
  • .cgm
  • .class
  • .cmd
  • .cpp
  • .crt
  • .csr
  • .csv
  • .db
  • .dbf
  • .dch
  • .der
  • .dif
  • .dip
  • .djvu
  • .doc
  • .docb
  • .docm
  • .docx
  • .dot
  • .dotm
  • .dotx
  • .dwg
  • .edb
  • .eml
  • .fla
  • .flv
  • .frm
  • .gif
  • .gpg
  • .gz
  • .hwp
  • .ibd
  • .iso
  • .jar
  • .java
  • .jpeg
  • .jpg
  • .js
  • .jsp
  • .key
  • .lay
  • .lay6
  • .ldf
  • .m3u
  • .m4u
  • .max
  • .mdb
  • .mdf
  • .mid
  • .mkv
  • .mml
  • .mov
  • .mp3
  • .mp4
  • .mpeg
  • .mpg
  • .msg
  • .myd
  • .myi
  • .nef
  • .odb
  • .odg
  • .odp
  • .ods
  • .odt
  • .onetoc2
  • .ost
  • .otg
  • .otp
  • .ots
  • .ott
  • .p12
  • .pas
  • .pdf
  • .pem
  • .pfx
  • .php
  • .pl
  • .png
  • .pot
  • .potm
  • .potx
  • .ppam
  • .pps
  • .ppsm
  • .ppsx
  • .ppt
  • .pptm
  • .pptx
  • .ps1
  • .psd
  • .pst
  • .rar
  • .raw
  • .rb
  • .rtf
  • .sch
  • .sh
  • .sldm
  • .sldx
  • .slk
  • .sln
  • .snt
  • .sql
  • .sqlite3
  • .sqlitedb
  • .stc
  • .std
  • .sti
  • .stw
  • .suo
  • .svg
  • .swf
  • .sxc
  • .sxd
  • .sxi
  • .sxm
  • .sxw
  • .tar
  • .tbk
  • .tgz
  • .tif
  • .tiff
  • .txt
  • .uop
  • .uot
  • .vb
  • .vbs
  • .vcd
  • .vdi
  • .vmdk
  • .vmx
  • .vob
  • .vsd
  • .vsdx
  • .wav
  • .wb2
  • .wk1
  • .wks
  • .wma
  • .wmv
  • .xlc
  • .xlm
  • .xls
  • .xlsb
  • .xlsm
  • .xlsx
  • .xlt
  • .xltm
  • .xltx
  • .xlw
  • .zip
  • .c
  • .py
  • .st

  SOLUTION

Minimum scan engine: 9.850
First VSAPI Pattern File: 14.400.05
First VSAPI Pattern Release Date: 24 de lipca de 2018
VSAPI OPR PATTERN-VERSION: 14.401.00
VSAPI OPR PATTERN DATE: 25 de lipca de 2018

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 3

Reiniciar en modo seguro

[ learnMore ]

Step 4

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\OneDrive
  • DisableFileSyncNGSC = 1
  • HKEY_CLASSES_ROOT\.fang\DefaultIcon
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\SystemRestore
  • DisableSR = 1
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\SystemRestore
  • DisableConfig = 1
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Poisonfang
  • DelayedAutostart = 0x00000000
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Poisonfang
  • ErrorControl = 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Poisonfang
  • ImagePath = "%Windows%\P0150N\PoisonfangService.exe"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Poisonfang
  • ObjectName = LocalSystem
  • Start = 0x00000002
  • Type = 0x00000010
  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\OneDrive
  • DisableFileSyncNGSC = 1
  • HKEY_CLASSES_ROOT\.fang\DefaultIcon
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\SystemRestore
  • DisableSR = 1
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\SystemRestore
  • DisableConfig = 1
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Poisonfang
  • DelayedAutostart = 0x00000000
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Poisonfang
  • ErrorControl = 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Poisonfang
  • ImagePath = "%Windows%\P0150N\PoisonfangService.exe"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Poisonfang
  • ObjectName = LocalSystem
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Poisonfang
  • Start = 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Poisonfang
  • Type = 0x00000010

Step 5

Buscar y eliminar esta carpeta

[ learnMore ]
Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todas las carpetas ocultas.
  • %Windows%\P0150N

Step 6

Buscar y eliminar estos archivos

[ learnMore ]
Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción "Más opciones avanzadas" para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos.
  • %Windows%\fang.ico
  • {Removable Drive Letter}:\drop.exe
  • {Removable Drive Letter}:\autorun.inf
DATA_GENERIC_FILENAME_1
  • En la lista desplegable Buscar en, seleccione Mi PC y pulse Intro.
  • Una vez haya encontrado el archivo, selecciónelo y, a continuación, pulse MAYÚS+SUPR para eliminarlo definitivamente.
  • Repita los pasos 2 a 4 con el resto de archivos:
      • %Windows%\fang.ico
      • {Removable Drive Letter}:\drop.exe
      • {Removable Drive Letter}:\autorun.inf
  • Step 7

    Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como RANSOM64_POSIONFANG.THGAOAH En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.


    Did this description help? Tell us how we did.