RANSOM_HERMES.A

This Trojan arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

It deletes the initially executed copy of itself.

Arrival Details

This Trojan arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

This Trojan drops the following copies of itself into the affected system and executes them:

• %All Users Profile%\Reload.exe

(Note: %All Users Profile% is the All Users folder, where it usually is C:\Documents and Settings\All Users on Windows 2000, Windows Server 2003, and Windows XP (32- and 64-bit); C:\ProgramData on Windows Vista (32- and 64-bit), Windows 7 (32- and 64-bit), Windows 8 (32- and 64-bit), Windows 8.1 (32- and 64-bit), Windows Server 2008, and Windows Server 2012.)

It drops the following files:

• %All Users Profile%\system_.bat
• %All Users Profile%\shade.bat
• {folders containing encrypted files}\UNIQUE_ID_DO_NOT_REMOVE
• {folders containing encrypted files}\DECRYPT_INFORMATION.html - ransom note
• {%Desktop%}\UNIQUE_ID_DO_NOT_REMOVE
• {%Desktop%}\DECRYPT_INFORMATION.html - ransom note

(Note: %All Users Profile% is the All Users folder, where it usually is C:\Documents and Settings\All Users on Windows 2000, Windows Server 2003, and Windows XP (32- and 64-bit); C:\ProgramData on Windows Vista (32- and 64-bit), Windows 7 (32- and 64-bit), Windows 8 (32- and 64-bit), Windows 8.1 (32- and 64-bit), Windows Server 2008, and Windows Server 2012.. %Desktop% is the desktop folder, where it usually is C:\Documents and Settings\{user name}\Desktop in Windows 2000, Windows Server 2003, and Windows XP (32- and 64-bit); C:\Users\{user name}\Desktop in Windows Vista (32- and 64-bit), Windows 7 (32- and 64-bit), Windows 8 (32- and 64-bit), Windows 8.1 (32- and 64-bit), Windows Server 2008, and Windows Server 2012.)

Autostart Technique

This Trojan adds the following registry entries to enable its automatic execution at every system startup:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
sysrep = %All Users Profile%\Reload.exe

Other Details

This Trojan encrypts files with the following extensions:

• .1cd
• .3dm
• .3ds
• .4db
• .4dl
• .4mp
• .7z
• .a3d
• .abm
• .abs
• .abw
• .accdb
• .act
• .adn
• .adp
• .af2
• .af3
• .aft
• .afx
• .agif
• .agp
• .ahd
• .ai
• .aic
• .aim
• .albm
• .alf
• .ani
• .ans
• .apd
• .apm
• .apng
• .aps
• .apt
• .apx
• .art
• .arw
• .asc
• .ase
• .ask
• .asw
• .asy
• .aty
• .awdb
• .awp
• .awt
• .aww
• .azz
• .bad
• .bak
• .bay
• .bbs
• .bdb
• .bdp
• .bdr
• .bean
• .bib
• .bm2
• .bmp
• .bmx
• .bna
• .bnd
• .boc
• .bok
• .brk
• .brn
• .brt
• .bss
• .btd
• .bti
• .btr
• .c4
• .c4d
• .cal
• .cals
• .can
• .cd
• .cd5
• .cdb
• .cdc
• .cdg
• .cdmm
• .cdmt
• .cdmz
• .cdr
• .cdr3
• .cdr4
• .cdr6
• .cdrw
• .cdt
• .cf
• .cfu
• .cgm
• .cimg
• .cin
• .cit
• .ckp
• .clkw
• .cma
• .cmx
• .cnm
• .cnv
• .colz
• .cpc
• .cpd
• .cpg
• .cps
• .cpt
• .cpx
• .cr2
• .crd
• .crwl
• .css
• .csv
• .csy
• .ct
• .cv5
• .cvg
• .cvi
• .cvs
• .cvx
• .cwt
• .cxf
• .cyi
• .dad
• .daf
• .dat
• .db
• .db2
• .db3
• .dbc
• .dbf
• .dbk
• .dbs
• .dbt
• .dbv
• .dbx
• .dc2
• .dca
• .dcb
• .dcr
• .dcs
• .dct
• .dcx
• .ddl
• .ddoc
• .dds
• .ded
• .df1
• .dgn
• .dgs
• .dgt
• .dhs
• .dib
• .diz
• .djv
• .djvu
• .dm3
• .dmi
• .dmo
• .dnc
• .dne
• .doc
• .docm
• .docx
• .docz
• .dot
• .dotm
• .dotx
• .dp1
• .dpp
• .dpx
• .dqy
• .drw
• .drz
• .dsk
• .dsn
• .dsv
• .dt
• .dt2
• .dta
• .dtsx
• .dtw
• .dvi
• .dvl
• .dwg
• .dx
• .dxb
• .dxf
• .dxl
• .eco
• .ecw
• .ecx
• .edb
• .efd
• .egc
• .eio
• .eip
• .eit
• .emd
• .emf
• .emlx
• .ep
• .epf
• .epp
• .eps
• .epsf
• .eql
• .erf
• .err
• .etf
• .etx
• .euc
• .exr
• .fal
• .faq
• .fax
• .fb2
• .fb3
• .fbl
• .fbx
• .fcd
• .fcf
• .fdf
• .fdr
• .fds
• .fdt
• .fdx
• .fdxt
• .fes
• .fft
• .fh10
• .fh11
• .fh3
• .fh4
• .fh5
• .fh6
• .fh7
• .fh8
• .fic
• .fid
• .fif
• .fig
• .fil
• .flc
• .fli
• .flr
• .fm5
• .fmv
• .fodt
• .fol
• .fp3
• .fp4
• .fp5
• .fp7
• .fpos
• .fpt
• .fpx
• .frm
• .frt
• .frx
• .ft10
• .ft11
• .ft7
• .ft8
• .ft9
• .ftn
• .fwdn
• .fxc
• .fxg
• .fzb
• .fzv
• .g3
• .gcdp
• .gdb
• .gdoc
• .gem
• .geo
• .gfb
• .gfie
• .ggr
• .gif
• .gih
• .gim
• .gio
• .glox
• .gpd
• .gpn
• .gro
• .grob
• .grs
• .gsd
• .gthr
• .gtp
• .gv
• .gwi
• .hbk
• .hdb
• .hdp
• .hdr
• .hht
• .his
• .hpg
• .hpgl
• .hpi
• .hpl
• .hs
• .htc
• .html
• .hwp
• .hz
• .i3d
• .ib
• .icn
• .icon
• .icpr
• .idc
• .idea
• .idx
• .igt
• .igx
• .ihx
• .iil
• .iiq
• .imd
• .info
• .ink
• .ipf
• .ipx
• .itc2
• .itdb
• .itw
• .iwi
• .j
• .j2c
• .j2k
• .jas
• .jb2
• .jbig
• .jbmp
• .jbr
• .jfif
• .jia
• .jis
• .jng
• .joe
• .jp1
• .jp2
• .jpe
• .jpeg
• .jpg
• .jpg2
• .jps
• .jpx
• .jrtf
• .jtf
• .jtx
• .jwl
• .jxr
• .kdb
• .kdbx
• .kdc
• .kdi
• .kdk
• .kes
• .kic
• .klg
• .knt
• .kon
• .kpg
• .kwd
• .lbm
• .lbt
• .lgc
• .lis
• .lit
• .ljp
• .lmk
• .lnt
• .lp2
• .lrc
• .lst
• .ltr
• .ltx
• .lue
• .luf
• .lwo
• .lwp
• .lws
• .lyt
• .lyx
• .m3d
• .ma
• .mac
• .man
• .map
• .maq
• .mat
• .max
• .mb
• .mbm
• .mbox
• .mdb
• .mdf
• .mdn
• .mdt
• .me
• .mef
• .mell
• .mft
• .mgcb
• .mgmf
• .mgmt
• .mgmx
• .mgtx
• .min
• .mmat
• .mng
• .mnr
• .mnt
• .mobi
• .mos
• .mpf
• .mpo
• .mrg
• .mrxs
• .msg
• .mt9
• .mud
• .mwb
• .mwp
• .mxl
• .myd
• .myl
• .ncr
• .nct
• .ndf
• .nfo
• .njx
• .nlm
• .now
• .nrw
• .ns2
• .ns3
• .ns4
• .nsf
• .nv2
• .nyf
• .nzb
• .obj
• .oc3
• .oc4
• .oc5
• .oce
• .oci
• .ocr
• .odb
• .odm
• .odo
• .odp
• .ods
• .odt
• .ofl
• .oft
• .omf
• .oplc
• .oqy
• .ora
• .orf
• .ort
• .orx
• .ota
• .otg
• .oti
• .ott
• .ovp
• .ovr
• .owc
• .owg
• .oyx
• .ozb
• .ozj
• .ozt
• .p7s
• .p96
• .p97
• .pal
• .pan
• .pano
• .pap
• .pbm
• .pc1
• .pc2
• .pc3
• .pcd
• .pcs
• .pcx
• .pdb
• .pdd
• .pdf
• .pdm
• .pdn
• .pds
• .pdt
• .pe4
• .pef
• .pff
• .pfi
• .pfs
• .pfv
• .pfx
• .pgf
• .pgm
• .phm
• .php
• .pi1
• .pi2
• .pi3
• .pic
• .pict
• .pix
• .pjpg
• .pjt
• .pl
• .plt
• .pm
• .pmg
• .png
• .pni
• .pnm
• .pntg
• .pnz
• .pobj
• .pop
• .pp4
• .pp5
• .ppm
• .ppt
• .pptm
• .pptx
• .prt
• .prw
• .ps
• .psd
• .psdx
• .pse
• .psid
• .psp
• .psw
• .ptg
• .pth
• .ptx
• .pu
• .pvj
• .pvm
• .pvr
• .pwa
• .pwi
• .pwr
• .px
• .pxr
• .pz3
• .pza
• .pzp
• .pzs
• .qdl
• .qmg
• .qpx
• .qry
• .qvd
• .rad
• .rar
• .ras
• .raw
• .rctd
• .rcu
• .rdb
• .rdl
• .rft
• .rgb
• .rgf
• .rib
• .ric
• .riff
• .ris
• .rix
• .rle
• .rli
• .rng
• .rpd
• .rpf
• .rpt
• .rri
• .rs
• .rsb
• .rsd
• .rsr
• .rst
• .rt
• .rtd
• .rtf
• .rtx
• .run
• .rw2
• .rwl
• .rzk
• .rzn
• .s2mv
• .s3m
• .saf
• .sai
• .sam
• .save
• .sbf
• .scad
• .scc
• .sci
• .scm
• .sct
• .scv
• .scw
• .sdb
• .sdf
• .sdm
• .sdoc
• .sdw
• .sep
• .sfc
• .sfw
• .sgm
• .sig
• .sk1
• .sk2
• .skm
• .sla
• .sld
• .sls
• .smf
• .smil
• .sms
• .sob
• .spa
• .spe
• .sph
• .spj
• .spp
• .spq
• .spr
• .sqb
• .sql
• .sr2
• .srw
• .ssa
• .ssfn
• .ssk
• .st
• .ste
• .stm
• .stn
• .stp
• .str
• .stw
• .sty
• .sub
• .sumo
• .sva
• .svf
• .svg
• .svgz
• .swf
• .sxd
• .sxg
• .sxw
• .t2b
• .tab
• .tb0
• .tbn
• .tcx
• .tdf
• .tdt
• .te
• .tex
• .text
• .tfc
• .tg4
• .tga
• .thm
• .thp
• .tif
• .tiff
• .tjp
• .tlb
• .tlc
• .tm
• .tm2
• .tmd
• .tmv
• .tmx
• .tn
• .tne
• .tpc
• .tpi
• .trm
• .tvj
• .txt
• .u3d
• .u3i
• .udb
• .ufo
• .ufr
• .uga
• .unx
• .uof
• .uot
• .upd
• .usr
• .utf8
• .utxt
• .v12
• .vbr
• .vct
• .vda
• .vdb
• .vec
• .vff
• .vml
• .vnt
• .vpd
• .vpe
• .vrml
• .vrp
• .vsd
• .vsdm
• .vsdx
• .vsm
• .vst
• .vstm
• .vstx
• .vue
• .vw
• .wb1
• .wbc
• .wbd
• .wbk
• .wbm
• .wbmp
• .wbz
• .wcf
• .wdb
• .wdp
• .webp
• .wgz
• .wire
• .wmdb
• .wmf
• .wn
• .wp
• .wp4
• .wp5
• .wp6
• .wp7
• .wpa
• .wpb
• .wpd
• .wpe
• .wpg
• .wpl
• .wps
• .wpt
• .wpw
• .wri
• .wsc
• .wsd
• .wsh
• .wtx
• .wvl
• .x
• .x3d
• .x3f
• .xar
• .xdb
• .xdl
• .xhtm
• .xld
• .xlf
• .xlgc
• .xls
• .xlsb
• .xlsm
• .xlsx
• .xpm
• .xps
• .xwp
• .xy3
• .xyp
• .xyw
• .y
• .yal
• .ybk
• .yml
• .ysp
• .z3d
• .zabw
• .zdb
• .zdc
• .zif
• .zip
• .zw

It does the following:

• This ransomware deletes all shadow copies by executing the following command:
  • vssadmin Delete Shadows /all /quiet
• This ransomware avoids encrypting file with the following strings in their file path:
  • $Recycle.Bin
  • All Users
  • Default
  • esktop
  • Microsoft
  • microsoft
  • Program
  • Windows

It deletes the initially executed copy of itself

NOTES:

This ransomware displays the following ransom note: