Trojan.Phonywall

CH azonosító

CH-12855

Angol cím

Trojan.Phonywall

Felfedezés dátuma

2015.12.24.

Súlyosság

Közepes

Érintett rendszerek

Microsoft

Érintett verziók

Használjon offline biztonsági mentést.

Összefoglaló

A Phonywall trójai egy a Cryptowall ransomwarenak próbálja álcázni magát, azonban a fájlok titkosítása helyett csak felülírja azokat, majd váltságdíjat kér a titkosítatlan fájlok visszafejtésére.

Leírás

A trójai aktiválása után az alábbi fájlokat hozza létre:

  • %UserProfile%Application DataMicrosoftWindows[RANDOM CHARACTERS].exe
  • %AllUsersProfile%Application DataMicrosoftWindows[RANDOM CHARACTERS].exe

Létrehozza az alábbi rengisztrációs bejegyzéseket:

  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[RANDOM CHARACTERS]
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[RANDOM CHARACTERS]Type = 0x10
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[RANDOM CHARACTERS]Start = 2
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[RANDOM CHARACTERS]ErrorControl =1
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[RANDOM CHARACTERS]ImagePath =”%ALL_USERS%Application DataMicrosoftWindows[RANDOM CHARACTERS].exe” -run [PARAMETER]
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[RANDOM CHARACTERS]DisplayName= “CheckDisk Service”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[RANDOM CHARACTERS]Description= “Creates and displays a status report for a disk based on the file system. Chkdsk also lists and corrects errors on the disk.”
  • HKEY_LOCAL_MACHINESYSTEMCURRENTCONTROLSETENUMROOTLEGACY_[RANDOM CHARACTERS]
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun=”%USERAPPDATA%MicrosoftWindows[RANDOM CHARACTERS].exe”-run [PARAMETER]

Az alábbi név karaktereket tartalmazó fájlokat kivéve, felülírja a saját adataival a lemezen található összes állományt:

  • *.scr
  • *.exe
  • *.msi
  • *.msu
  • *.dll
  • *.ocx
  • *.ax
  • *.com
  • *.sys
  • *.lnk
  • *.inf
  • bootmgr
  • ntldr
  • boot.ini
  • ntuser.*

Nem írja felül az alábbi könyvtárakban található fájlokat:

  • Boot
  • Windows
  • Program Files*
  • System Volume Information

Leállítja az alábbi folyamatokat:

  • *sql*
  • *msdtssrvr*
  • *fdlauncher*
  • *ReportingServicesService*
  • *mad*
  • *exchange*
  • *w3wp*
  • *iis*
  • *exfba*
  • *store*
  • *inet*

Létrehozza a DECRYPT_INSTRUCTION.html állományt az összes felhasználó asztalán, melyben mindig a vRRRbw személyes kódot használja.

Hivatkozások

https://www.symantec.com/security_response/writeup.jsp?docid=2015-112522-0935-99&tabid=2