ACCDFISA Ransomware

Un billet concernant un autre type de Ransomware. Ces dernières s’évissent depuis Février 2011.
Ils visent particulièrement les USA, pour ma part, je n’ai jamais vu de sujet sur les forums de désinfection français.
Voici tout de même un billet qui présente cette famille de ransomware à titre indicatif.

Le ransomware tente de se faire passer pour l’ACCDFISA : “Anti Cyber Crime Department of Federal Internet Security Agency” (cet organisme n’existe pas) et bloque l’accès au donnée en prétextant que le PC est utilisé pour envoyer des mails de spam pour des sites pédophiles ou a été attaqué par un virus.

J’ai pu récupérer une version de Février voici une capture du message :


Les fichiers dans Mes Documents et sur le bureau sont encryptés et l’extension .aes a été ajoutée.

Un raccourci sur le bureau « How to decrypts aes files » a été ajouté, ce dernier pointe sur un fichier c:\decrypt\decrypt.exe qui est caché

Le ransomware bloque ensuite le chargement de Windows et les clefs SafeBoot sont supprimées pour empécher l’accès.
Le code 7534919801679213 (merci Emsisoft – voir plus bas) permet de débloquer l’accès.

Les fichiers dans le dossier system32 qui ont été ajoutés :

Les points de chargements visibles sur HijackThis :

O4 – HKLM\..\Run: [svchost] C:\ProgramData\local\svchost.exe
O23 – Service: Diagnostic Service System Host (WdiServiceSysHost) – Unknown owner – C:\WINDOWS\system32\dcomcnfgui.exe
O23 – Service: Network List System Service (netprofms) – Unknown owner – C:\WINDOWS\system32\ucsvcsh.exe

Les autre fichiers créés :

c:\ProgramData\local\dslsrunpk.dll
c:\ProgramData\local\svchost.exe
c:\ProgramData\local\undxkpwvlk.dll
c:\ProgramData\local\vpkswnhisp.dll
c:\WINDOWS\system32\csrsstub.exe
c:\WINDOWS\system32\dcomcnfgui.exe
c:\WINDOWS\system32\tcpsvcss.exe
c:\WINDOWS\system32\tracerpts.exe
c:\WINDOWS\system32\ucsvcsh.exe
c:\WINDOWS\system32\wcmtstcsys.sss 

 

Voici pour les curieux des détections pour avoir une idées du nom :

Le dropper :
https://www.virustotal.com/file/59ed7a26c56a644bf3f5ba45459965be8a6e6b79dcf4f90a5c51f2bb12190bf9/analysis/
SHA256: 59ed7a26c56a644bf3f5ba45459965be8a6e6b79dcf4f90a5c51f2bb12190bf9
File name: file-3834933_exe_
Detection ratio: 33 / 42
Analysis date: 2012-04-21 19:35:34 UTC ( 17 heures, 39 minutes ago )More detailsAntivirus Result Update
AhnLab-V3 Trojan/Win32.Buzus 20120421
Antiy-AVL Trojan/win32.agent.gen 20120421
AntiVir    TR/Dacromf.A.1    20120420
Avast Win32:Malware-gen 20120421
AVG Ransomer.TD 20120421
BitDefender Trojan.Generic.KDV.544947 20120421
CAT-QuickHeal Trojan.Dacromf.a 20120420
Comodo UnclassifiedMalware 20120421
DrWeb Trojan.MulDrop3.37232 20120421
Emsisoft Trojan.Win32.Dacromf!IK 20120421
eSafe Win32.TRSpy 20120419
F-Secure Trojan.Generic.KDV.544947 20120421
Fortinet W32/Dx.BD3E!tr 20120421
GData Trojan.Generic.KDV.544947 20120421
Ikarus Trojan.Win32.Dacromf 20120421
Jiangmin Trojan/Buzus.alqe 20120421
K7AntiVirus Trojan 20120420
Kaspersky Trojan.Win32.Buzus.lawo 20120421
McAfee Artemis!D06F3948AEC5 20120421
McAfee-GW-Edition Artemis!D06F3948AEC5 20120421
Microsoft Trojan:Win32/Dacromf.A 20120421
NOD32 a variant of Win32/LockScreen.AKQ 20120421
Norman W32/Troj_Generic.AEOIY 20120421
nProtect Trojan.Generic.KDV.544947 20120421
Panda Adware/ACCDFISA 20120421
Sophos Mal/Generic-L 20120421
Symantec Trojan.Ransomcrypt 20120421
TheHacker Trojan/Chifrax.cmb 20120420
TrendMicro TROJ_GEN.R04C7BR 20120421
TrendMicro-HouseCall TROJ_GEN.R04CCBR 20120421
VBA32 Trojan.Buzus.lawe 20120420
VIPRE Trojan.Win32.Generic!BT 20120421
VirusBuster Trojan.Buzus!2oAqX2t+JWQ 20120421
 

Le fichier dcomcnfgui.exe :

https://www.virustotal.com/file/ec855befa1b088809f15cf08266ae576d1885cb8374f69fcb936094341ae7675/analysis/
SHA256: ec855befa1b088809f15cf08266ae576d1885cb8374f69fcb936094341ae7675
File name: 5a94bbd98de20bbb415b7378226490e220d8cf83.bin
Detection ratio: 28 / 42
Analysis date: 2012-04-18 00:07:01 UTC ( 4 jours, 13 heures ago )Antivirus Result Update
AhnLab-V3 Trojan/Win32.Ransomlock 20120420
AntiVir TR/Spy.23552.180 20120420
Antiy-AVL Trojan/win32.agent.gen 20120420
Avast Win32:Spyware-gen [Spy] 20120421
AVG Generic27.AANG 20120421
BitDefender Gen:Trojan.Heur.TP.bqW@b4F!vWj 20120421
CAT-QuickHeal Trojan.Dacromf.A5 20120420
Comodo UnclassifiedMalware 20120420
DrWeb – 20120421
Emsisoft Trojan.Win32.Dacromf!IK 20120420
eSafe Win32.TRSpy 20120419
F-Secure Gen:Trojan.Heur.TP.bqW@b4F!vWj 20120420
Fortinet PWS_y.DXT!tr 20120421
GData Gen:Trojan.Heur.TP.bqW@b4F!vWj 20120420
Ikarus Trojan.Win32.Dacromf 20120420
K7AntiVirus Riskware 20120420
McAfee Generic PWS.y!dxt 20120421
McAfee-GW-Edition Generic PWS.y!dxt 20120420
Microsoft Trojan:Win32/Dacromf.A 20120420
NOD32 probably a variant of Win32/Agent.CPYYCSH 20120421
Norman W32/Troj_Generic.AGKPS 20120420
Panda Suspicious file 20120420
Rising Suspicious 20120420
Symantec Trojan.Gen 20120421
TrendMicro TROJ_GEN.R47C7BT 20120420
TrendMicro-HouseCall TROJ_GEN.R47C7BT 20120421
VBA32 – 20120420
VIPRE Trojan.Win32.Generic!BT 20120420
ViRobot Trojan.Win32.Agent.23552.DX 20120420
VirusBuster TrojanSpy.Agent!QCBtIgXkPxg 20120420

 

Emsisoft a sorti un papier sur ce malware : http://blog.emsisoft.com/2012/04/11/the-accdfisa-malware-family-ransomware-targetting-windows-servers/
On y a apprend que le malware est propagé par des hacks de serveurs TSE via des mots de passe faible ou en exploitant la vulnérabilité KB2621440
Les fichiers cryptés sont cryptés avec le protocole Winrar avec un mot de passe unique : 1a2vn57b348741t92451sst0a391ba72 – testé sur mon sample cela redonne bien la main au fichier crypté.

Emsisoft explique comment débloquer les écrans de la manière dont sont construits les clef de déblocage.
On peux pas dire que ce de côté là, les auteurs de malware se soit cassé la tête, mais on va pas s’en plaindre!

Quelques autres captures d’autres variantes :

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 18 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *