Cuando se ejecuta Hermes, se utilizará un control de cuentas de usuario, o UAC, el bypass llamada Once o elevación por la expansión variable de entorno , para eliminar instantáneas de volumen de la víctima y los archivos de copia de seguridad.
Hermes permitie que un archivo VBS llamada Shade.vbs pasa por alto el Control de cuentas de usuario y poner en marcha privilegios elevados. Este archivo VBS, inicia un archivo por lotes llamado Shade.bat que se utiliza para borrar todas las instantáneas de volumen y eliminar conjuntos de copia de seguridad. Los conjuntos de copia de seguridad que se eliminan se describen con más detalle en la siguiente sección.
Hermes intenta suprimir archivos de copia de seguridad
Hermes utilizará un bypass UAC para ejecutar un archivo por lotes llamado shade.bat . Este archivo por lotes no sólo eliminará volúmenes de sombra de la computadora, sino que también eliminará las imágenes de copia de seguridad que puedan estar presentes en el equipo. Esto se hace para evitar que una víctima de la restauración de archivos cifrados desde una copia de seguridad.
Las imágenes de copia de seguridad que se eliminan son los que coinciden con los siguientes nombres: *.VHD, *.bac, *.bak, *.wbcat, *.bkf, Backup*.*, backup*.*, *.set, *.win, *.dsk
¿Cómo Hermes ransomware cifra un ordenador?.
Cuando se ejecuta el Hermes ransomware, se copia en C:\Users\Public\Reload.exe y se ejecutarse. A continuación, poner en marcha un archivo por lotes llamado system_.bat, que se utiliza para eliminar el instalador original.
Hermes entonces comenzará a escanear redes sin asignar acciones de una víctima de archivos que contengan determinadas extensiones y encriptación de las mismas mediante el cifrado AES. La lista de extensiones de archivo específicas se puede encontrar al final de este artículo.
Cabe señalar que cuando Hermes cifra un archivo, no anexar una nueva extensión para el archivo cifrado. Sin embargo, añade un marcador de archivo al final del contenido del archivo encriptado llamados HERMES.
Mientras que el cifrado de archivos se creará nota de rescate llamado DECRYPT_INFORMATION.html y un archivo llamado UNIQUE_ID_DO_NOT_REMOVE en cada carpeta que el archivo se ha cifrado. Se sospecha que el archivo UNIQUE_ID_DO_NOT_REMOVE contiene la clave de cifrado AES se utiliza para cifrar los archivos, que se cifra adicionalmente mediante una clave RSA incluido. Este Hace tan sólo el desarrollador ransomware puede descifrar este archivo y recuperar la clave de descifrado de la víctima.
Durante este proceso, el ransomware también eliminará las instantáneas de volumen y archivos de seguridad como se describe en las secciones anteriores. Cuando haya finalizado, se mostrará la nota de rescate DECRYPT_INFORMATION.html que contiene información sobre lo que ocurrió con los archivos de la víctima, una oferta para descifrar 3 archivos de forma gratuita, y las instrucciones de pago.
Esta nota de rescate incluye dos métodos que una víctima puede ponerse en contacto con el desarrollador con el fin de obtener las instrucciones de pago. Estos son un bitmessage dirección del BM-2cXfK4B5W9nvci7dYxUhuHYZSmJZ9zibwH@bitmessage.ch y la dirección de correo electrónico x2486@india.com.
La buena noticia es que ha un descifrador, la víctima no tendrá que pagar para obtener sus archivos de nuevo.
Archivos asociados con el Hermes ransomware
C:\Eleven\Comet.{20D04FE0-3AEA-1069-A2D8-08002B30309D}\, C:\Eleven\Microsoft\, C:\Eleven\Microsoft\Windows\, C:\Eleven\Microsoft\Windows\Caches\, C:\Eleven\Microsoft\Windows\Caches\cversions.2.db, C:\Eleven\Microsoft\Windows\Caches\{6AF0698E-D558-4F6E-9B3C-3716689AF493}.2.ver0x0000000000000001.db, C:\Eleven\Microsoft\Windows\Caches\{73E271C2-E043-4985-A165-1B09233B848B}.2.ver0x0000000000000001.db, C:\Eleven\Microsoft\Windows\Caches\{DDF571F2-BE98-426D-8288-1A9A39C3FDA2}.2.ver0x0000000000000001.db, C:\Eleven\Microsoft\Windows\Caches\{E0B113B6-B2EA-4F79-9F6D-C7F51DA96E93}.2.ver0x0000000000000001.db, C:\Eleven\Microsoft\Windows\Start Menu, C:\Eleven\Microsoft\Windows\Start Menu\Programs, C:\Eleven\Microsoft\Windows\Start Menu\Programs\Administrative Tools, C:\Eleven\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Computer Management.lnk, C:\Users\Public\Reload.exe, C:\Users\Public\shade.bat, C:\Users\Public\shade.vbs, C:\Users\Public\system_.bat
EN EL CASO DE QUE NO PUEDAS VER EL VIDEO PUEDES HACERLO DESDE AQUI
Extensiones de archivo específicas que cifra el ransomware Hermes
.tif, .php, .accdb, .dbf, .arw, .txt, .doc, .docm, .docx, .zip, .rar, .xlsx, .xls, .xlsb, .xlsm, .jpg, .jpe, .jpeg, .bmp, .eql, .sql, .adp, .mdf, .frm, .mdb, .odb, .odm, .odp, .ods, .dbc, .frx, .dbs, .pds, .pdt, .pdf, .cfu, .mxl, .epf, .kdbx, .erf, .vrp, .grs, .geo, .pff, .mft, .efd, .rib, .max, .lwo, .lws, .obj, .fbx, .dgn, .dwg, .abs, .adn, .aft, .ahd, .alf, .ask, .awdb, .azz, .bdb, .bib, .bnd, .bok, .btr, .bak, .cdb, .ckp, .clkw, .cma, .crd, .dad, .daf, .dbk, .dbt, .dbv, .dbx, .dcb, .dct, .dcx, .ddl, .dmo, .dnc, .dqy, .dsk, .dsn, .dta, .dtsx, .dxl, .eco, .ecx, .edb, .emd, .fcd, .fic, .fid, .fil, .fol, .fpt, .fzb, .fzv, .gdb, .gwi, .hdb, .his, .idc, .ihx, .itdb, .itw, .jtx, .kdb, .lgc, .maq, .mdn, .mdt, .mrg, .mud, .mwb, .myd, .ndf, .nsf, .nyf, .oce, .oqy, .ora, .orx, .owc, .owg, .oyx, .pan, .pdb, .pdm, .phm, .pnz, .pth, .pwa, .qpx, .qry, .qvd, .rctd, .rdb, .rpd, .rsd, .sbf, .sdb, .sdf, .spq, .sqb, .stp, .str, .tcx, .tdt, .tmd, .trm, .udb, .usr, .vdb, .vpd, .wdb, .wmdb, .xdb, .xld, .xlgc, .zdb, .zdc, .cdr, .cdr3, .ppt, .pptx, .abw, .act, .aim, .ans, .apt, .asc, .ase, .aty, .awp, .awt, .aww, .bad, .bbs, .bdp, .bdr, .bean, .bna, .boc, .btd, .cnm, .crwl, .cyi, .dca, .dgs, .diz, .dne, .docz, .dot, .dotm, .dotx, .dsv, .dvi, .eio, .eit, .emlx, .epp, .err, .etf, .etx, .euc, .faq, .fbl, .fcf, .fdf, .fdr, .fds, .fdt, .fdx, .fdxt, .fes, .fft, .flr, .fodt, .gtp, .frt, .fwdn, .fxc, .gdoc, .gio, .gpn, .gsd, .gthr, .hbk, .hht, .htc, .hwp, .idx, .iil, .ipf, .jis, .joe, .jrtf, .kes, .klg, .knt, .kon, .kwd, .lbt, .lis, .lit, .lnt, .lrc, .lst, .ltr, .ltx, .lue, .luf, .lwp, .lyt, .lyx, .man, .map, .mbox, .mell, .min, .mnt, .msg, .mwp, .nfo, .njx, .now, .nzb, .ocr, .odo, .odt, .ofl, .oft, .ort, .ott, .pfs, .pfx, .pjt, .prt, .psw, .pvj, .pvm, .pwi, .pwr, .qdl, .rad, .rft, .ris, .rng, .rpt, .rst, .rtd, .rtf, .rtx, .run, .rzk, .rzn, .saf, .sam, .scc, .scm, .sct, .scw, .sdm, .sdoc, .sdw, .sgm, .sig, .sla, .sls, .smf, .sms, .ssa, .stw, .sty, .sub, .sxg, .sxw, .tab, .tdf, .tex, .text, .thp, .tlb, .tmv, .tmx, .tpc, .tvj, .unx, .uof, .uot, .upd, .utf8, .utxt, .vct, .vnt, .wbk, .wcf, .wgz, .wpa, .wpd, .wpl, .wps, .wpt, .wpw, .wri, .wsc, .wsd, .wsh, .wtx, .xdl, .xlf, .xps, .xwp, .xyp, .xyw, .ybk, .yml, .zabw, .abm, .afx, .agif, .agp, .aic, .albm, .apd, .apm, .apng, .aps, .apx, .art, .asw, .bay, .bmx, .brk, .brn, .brt, .bss, .bti, .cal, .cals, .can, .cdc, .cdg, .cimg, .cin, .cit, .colz, .cpc, .cpd, .cpg, .cps, .cpx, .dcr, .dds, .dgt, .dib, .djv, .djvu, .dmi, .vue, .dpx, .wire, .drz, .dtw, .dvl, .ecw, .eip, .exr, .fal, .fax, .fpos, .fpx, .gcdp, .gfb, .gfie, .ggr, .gif, .gih, .gim, .spr, .scad, .gpd, .gro, .grob, .hdp, .hdr, .hpi, .icn, .icon, .icpr, .iiq, .info, .ipx, .itc2, .iwi, .jas, .jbig, .jbmp, .jbr, .jfif, .jia, .jng, .jpg2, .jps, .jpx, .jtf, .jwl, .jxr, .kdc, .kdi, .kdk, .kic, .kpg, .lbm, .ljp, .mac, .mbm, .mef, .mnr, .mos, .mpf, .mpo, .mrxs, .myl, .ncr, .nct, .nlm, .nrw, .oci, .omf, .oplc, .asy, .cdmm, .cdmt, .cdmz, .cdt, .cgm, .cmx, .cnv, .csy, .cvg, .cvi, .cvs, .cvx, .cwt, .cxf, .dcs, .ded, .dhs, .dpp, .drw, .dxb, .dxf, .egc, .emf, .eps, .epsf, .fif, .fig, .fmv, .ftn, .fxg, .gem, .glox, .hpg, .hpgl, .hpl, .idea, .igt, .igx, .imd, .ink, .lmk, .mgcb, .mgmf, .mgmt, .mgmx, .mgtx, .mmat, .mat, .otg, .ovp, .ovr, .pcs, .pfv, .plt, .vrml, .pobj, .psid, .rdl, .scv, .ssk, .stn, .svf, .svgz, .sxd, .tlc, .tne, .ufr, .vbr, .vec, .vml, .vsd, .vsdm, .vsdx, .vstm, .stm, .vstx, .wpg, .vsm, .xar, .yal, .orf, .ota, .oti, .ozb, .ozj, .ozt, .pal, .pano, .pap, .pbm, .pcd, .pdd, .pef, .pfi, .pgf, .pgm, .pic, .pict, .pix, .pjpg, .pmg, .pni, .pnm, .pntg, .pop, .ppm, .prw, .psdx, .pse, .psp, .ptg, .ptx, .pvr, .pxr, .pza, .pzp, .pzs, .qmg, .ras, .rcu, .rgb, .rgf, .ric, .riff, .rix, .rle, .rli, .rpf, .rri, .rsb, .rsr, .rwl, .s2mv, .sci, .sep, .sfc, .sfw, .skm, .sld, .sob, .spa, .spe, .sph, .spj, .spp, .srw, .ste, .sumo, .sva, .save, .ssfn, .tbn, .tfc, .thm, .tjp, .tpi, .ufo, .uga, .vda, .vff, .vpe, .vst, .wbc, .wbd, .wbm, .wbmp, .wbz, .wdp, .webp, .wpb, .wpe, .wvl, .ysp, .zif, .cdr4, .cdr6, .cdrw, .ddoc, .css, .pptm, .raw, .cpt, .pcx, .pdn, .png, .psd, .tga, .tiff, .xpm, .sai, .wmf, .ani, .flc, .fli, .mng, .smil, .svg, .mobi, .swf, .html, .csv, .xhtm, .dat,
Fecha actualización el 2017-2-17. Fecha publicación el 2017-2-17. Categoría: Malware. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer
