Author: Michael Jay Villanueva   

 

Ransom:Win32/Tescrypt.A (Microsoft); Trojan.Cryptolocker.N (Symantec); Trojan-Ransom.Win32.Crypmod.wxx (Kaspersky)

 PLATFORM:

Windows

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Trojan

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW


  TECHNICAL DETAILS

File size: 335,872 bytes
File type: EXE
INITIAL SAMPLES RECEIVED DATE: 10 kwietnia 2016

Instalación

Infiltra y ejecuta los archivos siguientes:

  • %Desktop%\RECOVERY.txt
  • %Desktop%\RECOVERY.png
  • %Desktop%\RECOVERY.html
  • %Windows%\{random filename}.exe

(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).

. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKCU\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = %System%\cmd.exe /c start "" "%Windows%\{random filename}.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKCU\Software\xxxsys

HKCU\Software\{ID}

Agrega las siguientes entradas de registro:

HKCU\Software\xxxsys
ID = "{random values}"

HKCU\Software\{ID}
Data = “{random values}”

HKLM\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLinkedConnections = 1

Rutina de infiltración

Infiltra los archivos siguientes:

  • %My Documents%\recover_file_{random}.txt
  • {folders containing encrypted files}\Recovery+{random}.png
  • {folders containing encrypted files}\Recovery+{random}.txt
  • {folders containing encrypted files}\Recovery+{random}.html