Win32/Filecoder.Hermes [Threat Name] go to Threat

Win32/Filecoder.Hermes.D [Threat Variant Name]

Category trojan
Size 45568 B
Detection created Oct 06, 2017
Detection database version 16199
Aliases Trojan-Dropper.Win32.Scrop.byd (Kaspersky)
  Troj/Hermes-F (Sophos)
  Ransom:Win32/Genasom (Microsoft)
Short description

Win32/Filecoder.Hermes.D is a trojan that encrypts files on fixed, removable and network drives. To restore files to their original state the user is requested to send an e-mail to a specified address in exchange for a password/instructions.

Installation

When executed, the trojan copies itself in some of the the following locations:

  • %systemdrive%\­Documents and Settings\­%user%\­Application Data\­svchost%random%.exe
  • %systemdrive%\­users\­%user%\­AppData\­Local\­Temp\­svchost%random%.exe

A string with variable content is used instead of %rnd% .


The file is then executed.


The trojan deletes the original file.


The trojan creates the following file:

  • %startup%\­start.bat

The trojan writes the following entries to the file:

  • start "" %malwarefilepath%

This way the trojan ensures that the file is executed on every system start.

Payload information

Win32/Filecoder.Hermes.D is a trojan that encrypts files on fixed, removable and network drives.


The trojan searches for files with the following file extensions:

  • .tif
  • .php
  • .1cd
  • .7z
  • .cd
  • .1cd
  • .dbf
  • .ai
  • .arw
  • .txt
  • .doc
  • .docm
  • .docx
  • .zip
  • .rar
  • .xlsx
  • .xls
  • .xlsb
  • .xlsm
  • .jpg
  • .jpe
  • .jpeg
  • .bmp
  • .db
  • .eql
  • .sql
  • .adp
  • .mdf
  • .frm
  • .mdb
  • .odb
  • .odm
  • .odp
  • .ods
  • .dbc
  • .frx
  • .db2
  • .dbs
  • .pds
  • .pdt
  • .pdf
  • .dt
  • .cf
  • .cfu
  • .mxl
  • .epf
  • .kdbx
  • .erf
  • .vrp
  • .grs
  • .geo
  • .st
  • .pff
  • .mft
  • .efd
  • .3dm
  • .3ds
  • .rib
  • .ma
  • .max
  • .lwo
  • .lws
  • .m3d
  • .mb
  • .obj
  • .x
  • .x3d
  • .c4d
  • .fbx
  • .dgn
  • .dwg
  • .4db
  • .4dl
  • .4mp
  • .abs
  • .adn
  • .a3d
  • .aft
  • .ahd
  • .alf
  • .ask
  • .awdb
  • .azz
  • .bdb
  • .bib
  • .bnd
  • .bok
  • .btr
  • .bak
  • .cdb
  • .ckp
  • .clkw
  • .cma
  • .crd
  • .dad
  • .daf
  • .db3
  • .dbk
  • .dbt
  • .dbv
  • .dbx
  • .dcb
  • .dct
  • .dcx
  • .ddl
  • .df1
  • .dmo
  • .dnc
  • .dp1
  • .dqy
  • .dsk
  • .dsn
  • .dta
  • .dtsx
  • .dxl
  • .eco
  • .ecx
  • .edb
  • .emd
  • .fcd
  • .fic
  • .fid
  • .fil
  • .fm5
  • .fol
  • .fp3
  • .fp4
  • .fp5
  • .fp7
  • .fpt
  • .fzb
  • .fzv
  • .gdb
  • .gwi
  • .hdb
  • .his
  • .ib
  • .idc
  • .ihx
  • .itdb
  • .itw
  • .jtx
  • .kdb
  • .lgc
  • .maq
  • .mdn
  • .mdt
  • .mrg
  • .mud
  • .mwb
  • .s3m
  • .myd
  • .ndf
  • .ns2
  • .ns3
  • .ns4
  • .nsf
  • .nv2
  • .nyf
  • .oce
  • .oqy
  • .ora
  • .orx
  • .owc
  • .owg
  • .oyx
  • .p96
  • .p97
  • .pan
  • .pdb
  • .pdm
  • .phm
  • .pnz
  • .pth
  • .pwa
  • .qpx
  • .qry
  • .qvd
  • .rctd
  • .rdb
  • .rpd
  • .rsd
  • .sbf
  • .sdb
  • .sdf
  • .spq
  • .sqb
  • .stp
  • .str
  • .tcx
  • .tdt
  • .te
  • .tmd
  • .trm
  • .udb
  • .usr
  • .v12
  • .vdb
  • .vpd
  • .wdb
  • .wmdb
  • .xdb
  • .xld
  • .xlgc
  • .zdb
  • .zdc
  • .cdr
  • .cdr3
  • .ppt
  • .pptx
  • .abw
  • .act
  • .aim
  • .ans
  • .apt
  • .asc
  • .ase
  • .aty
  • .awp
  • .awt
  • .aww
  • .bad
  • .bbs
  • .bdp
  • .bdr
  • .bean
  • .bna
  • .boc
  • .btd
  • .cnm
  • .crwl
  • .cyi
  • .dca
  • .dgs
  • .diz
  • .dne
  • .docz
  • .dot
  • .dotm
  • .dotx
  • .dsv
  • .dvi
  • .dx
  • .eio
  • .eit
  • .emlx
  • .epp
  • .err
  • .etf
  • .etx
  • .euc
  • .faq
  • .fb2
  • .fbl
  • .fcf
  • .fdf
  • .fdr
  • .fds
  • .fdt
  • .fdx
  • .fdxt
  • .fes
  • .fft
  • .flr
  • .fodt
  • .gtp
  • .frt
  • .fwdn
  • .fxc
  • .gdoc
  • .gio
  • .gpn
  • .gsd
  • .gthr
  • .gv
  • .hbk
  • .hht
  • .hs
  • .htc
  • .hwp
  • .hz
  • .idx
  • .iil
  • .ipf
  • .jis
  • .joe
  • .jp1
  • .jrtf
  • .kes
  • .klg
  • .knt
  • .kon
  • .kwd
  • .lbt
  • .lis
  • .lit
  • .lnt
  • .lp2
  • .lrc
  • .lst
  • .ltr
  • .ltx
  • .lue
  • .luf
  • .lwp
  • .lyt
  • .lyx
  • .man
  • .map
  • .mbox
  • .me
  • .mell
  • .min
  • .mnt
  • .msg
  • .mwp
  • .nfo
  • .njx
  • .now
  • .nzb
  • .ocr
  • .odo
  • .odt
  • .ofl
  • .oft
  • .ort
  • .ott
  • .p7s
  • .pfs
  • .pfx
  • .pjt
  • .prt
  • .psw
  • .pu
  • .pvj
  • .pvm
  • .pwi
  • .pwr
  • .qdl
  • .rad
  • .rft
  • .ris
  • .rng
  • .rpt
  • .rst
  • .rt
  • .rtd
  • .rtf
  • .rtx
  • .run
  • .rzk
  • .rzn
  • .saf
  • .sam
  • .scc
  • .scm
  • .sct
  • .scw
  • .sdm
  • .sdoc
  • .sdw
  • .sgm
  • .sig
  • .sla
  • .sls
  • .smf
  • .sms
  • .ssa
  • .stw
  • .sty
  • .sub
  • .sxg
  • .sxw
  • .tab
  • .tdf
  • .tex
  • .text
  • .thp
  • .tlb
  • .tm
  • .tmv
  • .tmx
  • .tpc
  • .tvj
  • .u3d
  • .u3i
  • .unx
  • .uof
  • .uot
  • .upd
  • .utf8
  • .utxt
  • .vct
  • .vnt
  • .vw
  • .wbk
  • .wcf
  • .wgz
  • .wn
  • .wp
  • .wp4
  • .wp5
  • .wp6
  • .wp7
  • .wpa
  • .wpd
  • .wpl
  • .wps
  • .wpt
  • .wpw
  • .wri
  • .wsc
  • .wsd
  • .wsh
  • .wtx
  • .xdl
  • .xlf
  • .xps
  • .xwp
  • .xy3
  • .xyp
  • .xyw
  • .ybk
  • .yml
  • .zabw
  • .zw
  • .abm
  • .afx
  • .agif
  • .agp
  • .aic
  • .albm
  • .apd
  • .apm
  • .apng
  • .aps
  • .apx
  • .art
  • .asw
  • .bay
  • .bm2
  • .bmx
  • .brk
  • .brn
  • .brt
  • .bss
  • .bti
  • .c4
  • .cal
  • .cals
  • .can
  • .cd5
  • .cdc
  • .cdg
  • .cimg
  • .cin
  • .cit
  • .colz
  • .cpc
  • .cpd
  • .cpg
  • .cps
  • .cpx
  • .cr2
  • .ct
  • .dc2
  • .dcr
  • .dds
  • .dgt
  • .dib
  • .djv
  • .djvu
  • .dm3
  • .dmi
  • .vue
  • .dpx
  • .wire
  • .drz
  • .dt2
  • .dtw
  • .dvl
  • .ecw
  • .eip
  • .exr
  • .fal
  • .fax
  • .fpos
  • .fpx
  • .g3
  • .gcdp
  • .gfb
  • .gfie
  • .ggr
  • .gif
  • .gih
  • .gim
  • .spr
  • .scad
  • .gpd
  • .gro
  • .grob
  • .hdp
  • .hdr
  • .hpi
  • .i3d
  • .icn
  • .icon
  • .icpr
  • .iiq
  • .info
  • .ipx
  • .itc2
  • .iwi
  • .j
  • .j2c
  • .j2k
  • .jas
  • .jb2
  • .jbig
  • .jbmp
  • .jbr
  • .jfif
  • .jia
  • .jng
  • .jp2
  • .jpg2
  • .jps
  • .jpx
  • .jtf
  • .jwl
  • .jxr
  • .kdc
  • .kdi
  • .kdk
  • .kic
  • .kpg
  • .lbm
  • .ljp
  • .mac
  • .mbm
  • .mef
  • .mnr
  • .mos
  • .mpf
  • .mpo
  • .mrxs
  • .myl
  • .ncr
  • .nct
  • .nlm
  • .nrw
  • .oc3
  • .oc4
  • .oc5
  • .oci
  • .omf
  • .oplc
  • .af2
  • .af3
  • .asy
  • .cdmm
  • .cdmt
  • .cdmz
  • .cdt
  • .cgm
  • .cmx
  • .cnv
  • .csy
  • .cv5
  • .cvg
  • .cvi
  • .cvs
  • .cvx
  • .cwt
  • .cxf
  • .dcs
  • .ded
  • .dhs
  • .dpp
  • .drw
  • .dxb
  • .dxf
  • .egc
  • .emf
  • .ep
  • .eps
  • .epsf
  • .fh10
  • .fh11
  • .fh3
  • .fh4
  • .fh5
  • .fh6
  • .fh7
  • .fh8
  • .fif
  • .fig
  • .fmv
  • .ft10
  • .ft11
  • .ft7
  • .ft8
  • .ft9
  • .ftn
  • .fxg
  • .gem
  • .glox
  • .hpg
  • .hpgl
  • .hpl
  • .idea
  • .igt
  • .igx
  • .imd
  • .ink
  • .lmk
  • .mgcb
  • .mgmf
  • .mgmt
  • .mt9
  • .mgmx
  • .mgtx
  • .mmat
  • .mat
  • .otg
  • .ovp
  • .ovr
  • .pcs
  • .pfv
  • .pl
  • .plt
  • .vrml
  • .pobj
  • .psid
  • .rdl
  • .scv
  • .sk1
  • .sk2
  • .ssk
  • .stn
  • .svf
  • .svgz
  • .sxd
  • .tlc
  • .tne
  • .ufr
  • .vbr
  • .vec
  • .vml
  • .vsd
  • .vsdm
  • .vsdx
  • .vstm
  • .stm
  • .vstx
  • .wpg
  • .vsm
  • .xar
  • .yal
  • .orf
  • .ota
  • .oti
  • .ozb
  • .ozj
  • .ozt
  • .pal
  • .pano
  • .pap
  • .pbm
  • .pc1
  • .pc2
  • .pc3
  • .pcd
  • .pdd
  • .pe4
  • .pef
  • .pfi
  • .pgf
  • .pgm
  • .pi1
  • .pi2
  • .pi3
  • .pic
  • .pict
  • .pix
  • .pjpg
  • .pm
  • .pmg
  • .pni
  • .pnm
  • .pntg
  • .pop
  • .pp4
  • .pp5
  • .ppm
  • .prw
  • .psdx
  • .pse
  • .psp
  • .ptg
  • .ptx
  • .pvr
  • .px
  • .pxr
  • .pz3
  • .pza
  • .pzp
  • .pzs
  • .z3d
  • .qmg
  • .ras
  • .rcu
  • .rgb
  • .rgf
  • .ric
  • .riff
  • .rix
  • .rle
  • .rli
  • .rpf
  • .rri
  • .rs
  • .rsb
  • .rsr
  • .rw2
  • .rwl
  • .s2mv
  • .sci
  • .sep
  • .sfc
  • .sfw
  • .skm
  • .sld
  • .sob
  • .spa
  • .spe
  • .sph
  • .spj
  • .spp
  • .sr2
  • .srw
  • .ste
  • .sumo
  • .sva
  • .save
  • .ssfn
  • .t2b
  • .tb0
  • .tbn
  • .tfc
  • .tg4
  • .thm
  • .tjp
  • .tm2
  • .tn
  • .tpi
  • .ufo
  • .uga
  • .vda
  • .vff
  • .vpe
  • .vst
  • .wb1
  • .wbc
  • .wbd
  • .wbm
  • .wbmp
  • .wbz
  • .wdp
  • .webp
  • .wpb
  • .wpe
  • .wvl
  • .x3f
  • .y
  • .ysp
  • .zif
  • .cdr4
  • .cdr6
  • .cdrw
  • .ddoc
  • .css
  • .pptm
  • .raw
  • .cpt
  • .pcx
  • .pdn
  • .png
  • .psd
  • .tga
  • .tiff
  • .tif
  • .xpm
  • .ps
  • .sai
  • .wmf
  • .ani
  • .flc
  • .fb3
  • .fli
  • .mng
  • .smil
  • .svg
  • .mobi
  • .swf
  • .html
  • .csv
  • .xhtm
  • .dat

It avoids files which contain any of the following strings in their path:

  • Windows
  • microsoft
  • Microsoft
  • Program
  • All Users
  • Default
  • $Recycle.Bin
  • WINDOWS

The trojan encrypts the file content.


The RSA2048, AES256 encryption algorithm is used.


To restore files to their original state the user is requested to send an e-mail to a specified address in exchange for a password/instructions.


The trojan creates the following file:

  • %desktop%\­DECRYPT_INFORMATION.html

The trojan opens the file using the default associated application.


It contains the following text:

When searching the drives, the trojan creates the following file in every folder visited:

  • UNIQUE_ID_DO_NOT_REMOVE
  • DECRYPT_INFORMATION.html

When files encryption is finished, the trojan removes itself from the computer.

Other information

The trojan removes all of the volume shadow copies in order to prevent restoring the original files.


The trojan executes the following commands:

  • vssadmin Delete Shadows /all /quiet
  • vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
  • vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
  • vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
  • vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
  • vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
  • vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
  • vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
  • vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
  • vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
  • vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
  • vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
  • vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
  • vssadmin Delete Shadows /all /quiet
  • del /s /f /q c:\­*.VHD c:\­*.bac c:\­*.bak c:\­*.wbcat c:\­*.bkf c:\­Backup*.* c:\­backup*.* c:\­*.set c:\­*.win c:\­*.dsk
  • del /s /f /q d:\­*.VHD d:\­*.bac d:\­*.bak d:\­*.wbcat d:\­*.bkf d:\­Backup*.* d:\­backup*.* d:\­*.set d:\­*.win d:\­*.dsk
  • del /s /f /q e:\­*.VHD e:\­*.bac e:\­*.bak e:\­*.wbcat e:\­*.bkf e:\­Backup*.* e:\­backup*.* e:\­*.set e:\­*.win e:\­*.dsk
  • del /s /f /q f:\­*.VHD f:\­*.bac f:\­*.bak f:\­*.wbcat f:\­*.bkf f:\­Backup*.* f:\­backup*.* f:\­*.set f:\­*.win f:\­*.dsk
  • del /s /f /q g:\­*.VHD g:\­*.bac g:\­*.bak g:\­*.wbcat g:\­*.bkf g:\­Backup*.* g:\­backup*.* g:\­*.set g:\­*.win g:\­*.dsk
  • del /s /f /q h:\­*.VHD h:\­*.bac h:\­*.bak h:\­*.wbcat h:\­*.bkf h:\­Backup*.* h:\­backup*.* h:\­*.set h:\­*.win h:\­*.dsk

The trojan keeps various information in the following files:

  • %systemdrive%\­users\­Public\­PUBLIC
  • %desktop%\­UNIQUE_ID_DO_NOT_REMOVE

Please enable Javascript to ensure correct displaying of this content and refresh this page.