Ransom.MSIL.THANOS.THFOFBB

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Elimina archivos para impedir la ejecución correcta de programas y aplicaciones.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Agrega los procesos siguientes:

• taskkill /F /IM RaccineSettings.exe
• reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "Raccine Tray" /F
• reg delete HKCU\Software\Raccine /F
• schtasks /DELETE /TN "Raccine Rules Updater" /F
• cmd.exe /c rd /s /q %SYSTEMDRIVE%\$Recycle.bin
• Sc.exe config Dnscache start= auto
• Sc.exe config FDResPub start= auto
• Sc.exe config SSDPSRV start= auto
• Sc.exe config upnphost start= auto
• Sc.exe config SQLTELEMETRY start= disabled
• Sc.exe config SQLTELEMETRY$ECWDB2 start= disabled
• Sc.exe config SQLWriter start= disabled
• Sc.exe config SstpSvc start= disabled
• taskkill.exe /IM mspub.exe /F
• taskkill.exe /IM mydesktopqos.exe /F
• taskkill.exe /IM mydesktopservice.exe /F
• taskkill.exe /IM mysqld.exe /F
• taskkill.exe /IM sqbcoreservice.exe /F
• taskkill.exe /IM firefoxconfig.exe /F
• taskkill.exe /IM agntsvc.exe /F
• taskkill.exe /IM thebat.exe /F
• taskkill.exe /IM steam.exe /F
• taskkill.exe /IM encsvc.exe /F
• taskkill.exe /IM excel.exe /F
• taskkill.exe /IM CNTAoSMgr.exe /F
• taskkill.exe /IM sqlwriter.exe /F
• taskkill.exe /IM tbirdconfig.exe /F
• taskkill.exe /IM dbeng50.exe /F
• taskkill.exe /IM thebat64.exe /F
• taskkill.exe /IM ocomm.exe /F
• taskkill.exe /IM infopath.exe /F
• taskkill.exe /IM mbamtray.exe /F
• taskkill.exe /IM zoolz.exe /F
• taskkill.exe /IM thunderbird.exe /F
• taskkill.exe /IM dbsnmp.exe /F
• taskkill.exe /IM xfssvccon.exe /F
• taskkill.exe /IM mspub.exe /F
• taskkill.exe /IM Ntrtscan.exe /F
• taskkill.exe /IM isqlplussvc.exe /F
• taskkill.exe /IM onenote.exe /F
• taskkill.exe /IM PccNTMon.exe /F
• taskkill.exe /IM msaccess.exe /F
• taskkill.exe /IM outlook.exe /F
• taskkill.exe /IM tmlisten.exe /F
• taskkill.exe /IM msftesql.exe /F
• taskkill.exe /IM powerpnt.exe /F
• taskkill.exe /IM mydesktopqos.exe /F
• taskkill.exe /IM visio.exe /F
• taskkill.exe /IM mydesktopservice.exe /F
• taskkill.exe /IM winword.exe /F
• taskkill.exe /IM mysqld-nt.exe /F
• taskkill.exe /IM wordpad.exe /F
• taskkill.exe /IM mysqld-opt.exe /F
• taskkill.exe /IM ocautoupds.exe /F
• taskkill.exe /IM ocssd.exe /F
• taskkill.exe /IM oracle.exe /F
• taskkill.exe /IM sqlagent.exe /F
• taskkill.exe /IM sqlbrowser.exe /F
• taskkill.exe IM sqlservr.exe /F
• taskkill.exe /IM synctime.exe /F
• powershell.exe & Get-WmiObject Win32_Shadowcopy | ForEach-Object { $_Delete(); }
• notepad.exe %Desktop%\RESTORE_FILES_INFO.txt
• cmd.exe /C ping 127.0.0.7 -n 3 > Nul & fsutil file setZeroData offset=0 length=524288 “%s” & Del /f /q “%s”
• cmd.exe "/C choice /C Y /N /D Y /T 3 & Del "{Malware Path}\{Malware Filename}.exe

(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Escritorio y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\Desktop).

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• Global\8a3cd836-e8bb-428d-9e0b-d62e18cfe2d4

Técnica de inicio automático

Este malware infiltra el/los archivo(s) siguiente(s) en la carpeta de inicio del usuario de Windows para permitir su ejecución automática cada vez que se inicia el sistema:

• %Programs%\Startup\reload1.lnk

Otras modificaciones del sistema

Elimina los archivos siguientes:

• {Malware Path}\Config.enc

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\KEYID\
myKeyID
ID1 = {Random}

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\FileSystem
LongPathsEnabled = 1

Finalización del proceso

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

• http analyzer stand-alone
• fiddler
• effetech http sniffer
• firesheep
• IEWatch Professional
• dumpcap
• wireshark
• wireshark portable
• sysinternals tcpview
• NetworkMiner
• NetworkTrafficView
• HTTPNetworkSniffer
• tcpdump
• intercepter
• Intercepter-NG
• ollydbg
• x64dbg
• x32dbg
• dnspy
• dnspy-x86
• de4dot
• ilspy
• dotpeek
• dotpeek64
• ida64
• RDG Packer Detector
• CFF Explorer
• PEiD
• protection_id
• LordPE
• pe-sieve
• MegaDumper
• UnConfuserEx
• Universal_Fixer
• NoFuserEx
• cheatengine

Otros detalles

Hace lo siguiente:

• It encrypts all available drives (except for CDROMs).
• It empties the recycle bin.
• It deletes the following subkeys under {HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options}
  • vssadmin.exe
  • wmic.exe
  • wbadmin.exe
  • bcdedit.exe
  • powershell.exe
  • diskshadow.exe
  • net.exe