Home / malwarePDF  

Ransom:Win32/Exxroute.B


First posted on 15 June 2016.
Source: Microsoft

Aliases :

There are no other names known for Ransom:Win32/Exxroute.B.

Explanation :

Installation

This malware will arrive as a DLL file, downloaded by the Angler exploit kit or other malware. The exploit kit registers the DLL by running rundll32 with a custom function name.

The downloader also drops a shortcut to the ransomware's ransom instructions in the so the note is loaded whenever Windows is loaded.

Payload

Encrypts files

This ransomware can encrypt files on your PC. It scans TCP port 445 for server message block (SMB) communications to identify additional shared resources (and files) that it can encrypt on the network. It connects to a command and control (C2) server to receive the private key it uses to encrypt your files.

It tries to encrypt specific file types (see the table at the end of this description) in most folders on your PC, and shared files on your network. It adds .cryp1 to the file extension on files that it encrypts.

It avoids files and folders that contain the following strings:

  • Autoexec.bat
  • AppData
  • Applic~1
  • Boot
  • Config.MSI
  • Cookies
  • EFI
  • Google
  • Locals~1
  • Perflogs
  • Plugins
  • Progra~1
  • Progra~2
  • Progra~3
  • Public
  • Recovery
  • Recycler
  • $Recycle.Bin
  • System~1
  • Templa~1
  • Windows
  • temp
  • thumbs.db
  • winnt


Files and folders with these strings are mostly related to legitimate Windows system processes that are used to keep the system running.

Demands payment to decrypt files

The ransomware drops the ransom instructions in in folders where it has performed the encryption. It drops three files, in the format:
  • !.bmp
  • !.html
  • !.txt


For example, !3DA1DD0F3B33.html.

It changes your desktop wallpaper to show the ransom instructions and will "lock" your PC when it first encrypts your files by displaying a full screen window. However, after restarting you can access your PC normally (although your files will still be encrypted).

The instructions provide a URL to a Tor .onion where you are told to enter an identification code and provide payment with bitcoins, in order to receive a tool and decryption key so you can decrypt your files.

It tries to connect to its command and control (C2) server. If it can establish a connection, it receives a customized message in the default language for the PC's geographical location. The following examples show the message in English:

If it can't establish a connection to its C2 server it drops these files:

The following screenshots detail each page or tab that is shown on the Tor site that is provided in the ransom instructions:

The ransomware attempts to delete shadow (backup) copies with the vssadmin command-line tool.

Targeted file types

The ransomware encrypts the following file types:
  • .3DM
  • .3DS
  • .3G2
  • .3GP
  • .4DB
  • .4DL
  • .4MP
  • .7Z
  • .A3D
  • .ABM
  • .ABS
  • .ABW
  • .ACCDB
  • .ACT
  • .ADN
  • .ADP
  • .AES
  • .AF2
  • .AF3
  • .AFT
  • .AFX
  • .AGIF
  • .AGP
  • .AHD
  • .AI
  • .AIC
  • .AIF
  • .AIM
  • .ALBM
  • .ALF
  • .ANI
  • .ANS
  • .APD
  • .APK
  • .APM
  • .APNG
  • .APP
  • .APS
  • .APT
  • .APX
  • .ARC
  • .ART
  • .ARW
  • .ASC
  • .ASE
  • .ASF
  • .ASK
  • .ASM
  • .ASP
  • .ASPX
  • .ASW
  • .ASX
  • .ASY
  • .ATY
  • .AVI
  • .AWDB
  • .AWP
  • .AWT
  • .AWW
  • .AZZ
  • .BAD
  • .BAY
  • .BBS
  • .BDB
  • .BDP
  • .BDR
  • .BEAN
  • .BIB
  • .BM2
  • .BMP
  • .BMX
  • .BNA
  • .BND
  • .BOC
  • .BOK
  • .BRD
  • .BRK
  • .BRN
  • .BRT
  • .BSS
  • .BTD
  • .BTI
  • .BTR
  • .BZ2
  • .C
  • .C2
  • .C4
  • .C4D
  • .CAL
  • .CALS
  • .CAN
  • .CD5
  • .CDB
  • .CDC
  • .CDG
  • .CDMM
  • .CDMT
  • .CDR
  • .CDR3
  • .CDR4
  • .CDR6
  • .CDT
  • .CER
  • .CF
  • .CFG
  • .CFM
  • .CFU
  • .CGI
  • .CGM
  • .CIMG
  • .CIN
  • .CIT
  • .CKP
  • .CLASS
  • .CLKW
  • .CMA
  • .CMD
  • .CMX
  • .CNM
  • .CNV
  • .COLZ
  • .CPC
  • .CPD
  • .CPG
  • .CPP
  • .CPS
  • .CPT
  • .CPX
  • .CRD
  • .CRT
  • .CRWL
  • .CRYPT
  • .CS
  • .CSR
  • .CSS
  • .CSV
  • .CSY
  • .CUE
  • .CV5
  • .CVG
  • .CVI
  • .CVS
  • .CVX
  • .CWT
  • .CXF
  • .CYI
  • .DAD
  • .DAF
  • .DB
  • .DB3
  • .DBF
  • .DBK
  • .DBT
  • .DBV
  • .DBX
  • .DCA
  • .DCB
  • .DCH
  • .DCS
  • .DCT
  • .DCU
  • .DCX
  • .DDL
  • .DDOC
  • .DDS
  • .DED
  • .DF1
  • .DG
  • .DGN
  • .DGS
  • .DHS
  • .DIB
  • .DIF
  • .DIP
  • .DIZ
  • .DJV
  • .DJVU
  • .DM3
  • .DMI
  • .DMO
  • .DNC
  • .DNE
  • .DOC
  • .DOCB
  • .DOCM
  • .DOCX
  • .DOCZ
  • .DOT
  • .DOTM
  • .DOTX
  • .DP1
  • .DPP
  • .DPX
  • .DQY
  • .DRW
  • .DRZ
  • .DSK
  • .DSN
  • .DSV
  • .DT
  • .DT2
  • .DTA
  • .DTD
  • .DTSX
  • .DTW
  • .DVI
  • .DVL
  • .DWG
  • .DX
  • .DXB
  • .DXF
  • .DXL
  • .ECO
  • .ECW
  • .ECX
  • .EDB
  • .EFD
  • .EGC
  • .EIO
  • .EIP
  • .EIT
  • .EMD
  • .EMF
  • .EML
  • .EMLX
  • .EP
  • .EPF
  • .EPP
  • .EPS
  • .EPSF
  • .EQL
  • .ERF
  • .ERR
  • .ETF
  • .ETX
  • .EUC
  • .EXR
  • .FAL
  • .FAQ
  • .FAX
  • .FB2
  • .FB3
  • .FBL
  • .FBX
  • .FCD
  • .FCF
  • .FDB
  • .FDF
  • .FDR
  • .FDS
  • .FDT
  • .FDX
  • .FDXT
  • .FES
  • .FFT
  • .FH10
  • .FH11
  • .FH3
  • .FH4
  • .FH5
  • .FH6
  • .FH7
  • .FH8
  • .FIC
  • .FID
  • .FIF
  • .FIG
  • .FIL
  • .FL
  • .FLA
  • .FLI
  • .FLR
  • .FLV
  • .FM5
  • .FMV
  • .FODT
  • .FOL
  • .FP3
  • .FP4
  • .FP5
  • .FP7
  • .FPOS
  • .FPT
  • .FPX
  • .FRM
  • .FRT
  • .FT10
  • .FT11
  • .FT7
  • .FT8
  • .FT9
  • .FTN
  • .FWDN
  • .FXC
  • .FXG
  • .FZB
  • .FZV
  • .GADGET
  • .GBK
  • .GBR
  • .GCDP
  • .GDB
  • .GDOC
  • .GED
  • .GEM
  • .GEO
  • .GFB
  • .GGR
  • .GIF
  • .GIH
  • .GIM
  • .GIO
  • .GLOX
  • .GPD
  • .GPG
  • .GPN
  • .GPX
  • .GRO
  • .GROB
  • .GRS
  • .GSD
  • .GTHR
  • .GTP
  • .GV
  • .GWI
  • .GZ
  • .H
  • .HBK
  • .HDB
  • .HDP
  • .HDR
  • .HHT
  • .HIS
  • .HPG
  • .HPGL
  • .HPI
  • .HPL
  • .HS
  • .HTC
  • .HTM
  • .HTML
  • .HWP
  • .HZ
  • .I3D
  • .IB
  • .IBD
  • .IBOOKS
  • .ICN
  • .ICON
  • .IDC
  • .IDEA
  • .IDX
  • .IFF
  • .IGT
  • .IGX
  • .IHX
  • .IIL
  • .IIQ
  • .IMD
  • .INDD
  • .INFO
  • .INK
  • .IPF
  • .IPX
  • .ITDB
  • .ITW
  • .IWI
  • .J2C
  • .J2K
  • .JAR
  • .JAS
  • .JAVA
  • .JB2
  • .JBMP
  • .JBR
  • .JFIF
  • .JIA
  • .JIS
  • .JKS
  • .JNG
  • .JOE
  • .JP1
  • .JP2
  • .JPE
  • .JPEG
  • .JPG
  • .JPG2
  • .JPS
  • .JPX
  • .JRTF
  • .JS
  • .JSP
  • .JTX
  • .JWL
  • .JXR
  • .KDB
  • .KDBX
  • .KDC
  • .KDI
  • .KDK
  • .KES
  • .KEY
  • .KIC
  • .KLG
  • .KML
  • .KMZ
  • .KNT
  • .KON
  • .KPG
  • .KWD
  • .LAY
  • .LAY6
  • .LBM
  • .LBT
  • .LDF
  • .LGC
  • .LIS
  • .LIT
  • .LJP
  • .LMK
  • .LNT
  • .LP2
  • .LRC
  • .LST
  • .LTR
  • .LTX
  • .LUA
  • .LUE
  • .LUF
  • .LWO
  • .LWP
  • .LWS
  • .LYT
  • .LYX
  • .M
  • .M3D
  • .M3U
  • .M4A
  • .M4V
  • .MA
  • .MAC
  • .MAN
  • .MAP
  • .MAQ
  • .MAT
  • .MAX
  • .MB
  • .MBM
  • .MBOX
  • .MDB
  • .MDF
  • .MDN
  • .MDT
  • .ME
  • .MEF
  • .MELL
  • .MFD
  • .MFT
  • .MGCB
  • .MGMT
  • .MGMX
  • .MID
  • .MIN
  • .MKV
  • .MMAT
  • .MML
  • .MNG
  • .MNR
  • .MNT
  • .MOBI
  • .MOS
  • .MOV
  • .MP3
  • .MP4
  • .MPA
  • .MPF
  • .MPG
  • .MRXS
  • .MS11
  • .MSG
  • .MSI
  • .MT9
  • .MUD
  • .MWB
  • .MWP
  • .MXL
  • .MYD
  • .MYI
  • .MYL
  • .NCR
  • .NCT
  • .NDF
  • .NEF
  • .NFO
  • .NJX
  • .NLM
  • .NOTE
  • .NOW
  • .NRW
  • .NS2
  • .NS3
  • .NS4
  • .NSF
  • .NV2
  • .NYF
  • .NZB
  • .OBJ
  • .OC3
  • .OC4
  • .OC5
  • .OCE
  • .OCI
  • .OCR
  • .ODB
  • .ODG
  • .ODM
  • .ODO
  • .ODP
  • .ODS
  • .ODT
  • .OFL
  • .OFT
  • .OMF
  • .OPLC
  • .OQY
  • .ORA
  • .ORF
  • .ORT
  • .ORX
  • .OTA
  • .OTG
  • .OTI
  • .OTP
  • .OTS
  • .OTT
  • .OVP
  • .OVR
  • .OWC
  • .OWG
  • .OYX
  • .OZB
  • .OZJ
  • .OZT
  • .P12
  • .P7S
  • .P96
  • .P97
  • .PAGES
  • .PAL
  • .PAN
  • .PANO
  • .PAP
  • .PAQ
  • .PAS
  • .PB
  • .PBM
  • .PC1
  • .PC2
  • .PC3
  • .PCD
  • .PCS
  • .PCT
  • .PCX
  • .PDB
  • .PDD
  • .PDF
  • .PDM
  • .PDN
  • .PDS
  • .PDT
  • .PE4
  • .PEF
  • .PEM
  • .PFF
  • .PFI
  • .PFS
  • .PFV
  • .PFX
  • .PGF
  • .PGM
  • .PHM
  • .PHP
  • .PI1
  • .PI2
  • .PI3
  • .PIC
  • .PICT
  • .PIF
  • .PIX
  • .PJPG
  • .PJT
  • .PL
  • .PLT
  • .PLUGIN
  • .PM
  • .PMG
  • .PNG
  • .PNI
  • .PNM
  • .PNTG
  • .PNZ
  • .POP
  • .POT
  • .POTM
  • .POTX
  • .PP4
  • .PP5
  • .PPAM
  • .PPM
  • .PPS
  • .PPSM
  • .PPSX
  • .PPT
  • .PPTM
  • .PPTX
  • .PRF
  • .PRIV
  • .PRIVATE
  • .PRT
  • .PRW
  • .PS
  • .PSD
  • .PSDX
  • .PSE
  • .PSID
  • .PSP
  • .PSPIMAGE
  • .PSW
  • .PTG
  • .PTH
  • .PTX
  • .PU
  • .PVJ
  • .PVM
  • .PVR
  • .PWA
  • .PWI
  • .PWR
  • .PXR
  • .PY
  • .PZ3
  • .PZA
  • .PZP
  • .PZS
  • .QCOW2
  • .QDL
  • .QMG
  • .QPX
  • .QRY
  • .QVD
  • .RA
  • .RAD
  • .RAR
  • .RAS
  • .RAW
  • .RCTD
  • .RCU
  • .RDB
  • .RDDS
  • .RDL
  • .RFT
  • .RGB
  • .RGF
  • .RIB
  • .RIC
  • .RIFF
  • .RIS
  • .RIX
  • .RLE
  • .RLI
  • .RM
  • .RNG
  • .RPD
  • .RPF
  • .RPT
  • .RRI
  • .RSB
  • .RSD
  • .RSR
  • .RSS
  • .RST
  • .RT
  • .RTD
  • .RTF
  • .RTX
  • .RUN
  • .RW2
  • .RWL
  • .RZK
  • .RZN
  • .S2MV
  • .S3M
  • .SAF
  • .SAI
  • .SAM
  • .SAVE
  • .SBF
  • .SCAD
  • .SCC
  • .SCH
  • .SCI
  • .SCM
  • .SCT
  • .SCV
  • .SCW
  • .SDB
  • .SDF
  • .SDM
  • .SDOC
  • .SDW
  • .SEP
  • .SFC
  • .SFW
  • .SGM
  • .SH
  • .SIG
  • .SITX
  • .SK1
  • .SK2
  • .SKM
  • .SLA
  • .SLD
  • .SLDX
  • .SLK
  • .SLN
  • .SLS
  • .SMF
  • .SMIL
  • .SMS
  • .SOB
  • .SPA
  • .SPE
  • .SPH
  • .SPJ
  • .SPP
  • .SPQ
  • .SPR
  • .SQB
  • .SQL
  • .SQLITE3
  • .SQLITEDB
  • .SR2
  • .SRT
  • .SRW
  • .SSA
  • .SSK
  • .ST
  • .STC
  • .STD
  • .STE
  • .STI
  • .STM
  • .STN
  • .STP
  • .STR
  • .STW
  • .STY
  • .SUB
  • .SUMO
  • .SVA
  • .SVF
  • .SVG
  • .SVGZ
  • .SWF
  • .SXC
  • .SXD
  • .SXG
  • .SXI
  • .SXM
  • .SXW
  • .T2B
  • .TAB
  • .TAR
  • .TB0
  • .TBK
  • .TBN
  • .TCX
  • .TDF
  • .TDT
  • .TE
  • .TEX
  • .TEXT
  • .TF
  • .TFC
  • .TG4
  • .TGA
  • .TGZ
  • .THM
  • .THP
  • .TIF
  • .TIFF
  • .TJP
  • .TLB
  • .TLC
  • .TM
  • .TM2
  • .TMD
  • .TMP
  • .TMV
  • .TMX
  • .TN
  • .TNE
  • .TPC
  • .TPI
  • .TRM
  • .TVJ
  • .TXT
  • .U3D
  • .U3I
  • .UDB
  • .UFO
  • .UFR
  • .UGA
  • .UNX
  • .UOF
  • .UOP
  • .UOT
  • .UPD
  • .USR
  • .UTF8
  • .UTXT
  • .V12
  • .VB
  • .VBR
  • .VBS
  • .VCF
  • .VCT
  • .VCXPROJ
  • .VDA
  • .VDB
  • .VDI
  • .VEC
  • .VFF
  • .VMDK
  • .VML
  • .VMX
  • .VNT
  • .VOB
  • .VPD
  • .VPE
  • .VRML
  • .VRP
  • .VSD
  • .VSDM
  • .VSDX
  • .VSM
  • .VST
  • .VSTX
  • .VUE
  • .VW
  • .WAV
  • .WB1
  • .WBC
  • .WBD
  • .WBK
  • .WBM
  • .WBMP
  • .WBZ
  • .WCF
  • .WDB
  • .WDP
  • .WEBP
  • .WGZ
  • .WIRE
  • .WKS
  • .WMA
  • .WMDB
  • .WMF
  • .WMV
  • .WN
  • .WP
  • .WP4
  • .WP5
  • .WP6
  • .WP7
  • .WPA
  • .WPD
  • .WPE
  • .WPG
  • .WPL
  • .WPS
  • .WPT
  • .WPW
  • .WRI
  • .WSC
  • .WSD
  • .WSF
  • .WSH
  • .WTX
  • .WVL
  • .X3D
  • .X3F
  • .XAR
  • .XCODEPROJ
  • .XDB
  • .XDL
  • .XHTM
  • .XHTML
  • .XLC
  • .XLD
  • .XLF
  • .XLGC
  • .XLM
  • .XLR
  • .XLS
  • .XLSB
  • .XLSM
  • .XLSX
  • .XLT
  • .XLTM
  • .XLTX
  • .XLW
  • .XML
  • .XPM
  • .XPS
  • .XWP
  • .XY3
  • .XYP
  • .XYW
  • .YAL
  • .YBK
  • .YML
  • .YSP
  • .YUV
  • .Z3D
  • .ZABW
  • .ZDB
  • .ZDC
  • .ZIF
  • .ZIP
  • .ZIPX
  • .ZW


Additional information

To decrypt Exxroute-encrypted files, you can also use the Exxroute decryption tool from Kaspersky, as discussed in their blog How to unlock a .crypt file



Analysis by Marianne Mallen

Last update 15 June 2016

 

TOP