Police Ukash Ransomware Trojan | Joachim De Zutter
July/August 2012

This ransomware (malware) spreads by malvertising using Clicksor (to which the browser may have been redirected by TrafficRevenue).

Javascript code containing version:"0.7.8",name:"PluginDetect" was found in the browser cache.

Mozilla Firefox plugin check & updates:

Installed Firefox plugins:
Adobe Reader 9.1.0 (outdated)

A malicious PDF file crashed the Adobe Acrobat Reader plugin.

The following URL was opened: http://vupofwigogtfvp.audiofrommzblfgnp-uzcd.org/4ff54591df9d0c5f7f00002a/50013fa60d79f2ce6400000b/
Which gave back an HTML page with a 404 Not Found error message
Filesize: 169
MD5: 6139b36d4f663018ea08bcd681e842c4
SHA1: 2cdebd7a9dbcd518590f94d503e4d6b203cbb83f
SHA256: ec3b39069300c0754f9fca292ed499bb2c36a1f0174270c5abe33a490dc1bfca
An HTML page containing obfuscated javascript that looks as follows was found in the browser cache:
z=function(){e="ev";c="";
d=11;
m=Math;
for(i=30746-1;i>=0;i--){
	w=i;
	v=a[w];
	dd=30746-i-2+1;
	b=d;
	dd=dd-b*m["floo"+"r"](dd/d);
	k=v*1+(dd-8);
	if(x&&e)c=c+fromCharCode(k);
}
md=["a"];
if(x)ev(c);}
try{x/=eval("pro"+"to"+"type");}catch(v){x=1;ev=eval;}
if(z)g=string of hexadecimal characters;
a=[];
for(i=0;i<g.length;i+=2){
	a.push(parseInt(g.substr(i,2),16));
}
f=String;
z(123);

The filenames Lars.jar, foiter.jar and inseo.pdf were found in the browser cache files.

/Users/USERNAME/
-rwxrwxrwx 1 root root  61440 2012-07-29 11:07 ms.exe

ms.exe performed HTTP GET and POST requests on solovely.kugufejupaqajax.info which resolved to 95.163.68.149
ms.exe copied itself to a file with a filename matching the regular expression [a-z]{8}.exe under the %ALLUSERSPROFILE%\Application Data\ folder
ms.exe created a registry key named hvgskzvkzkwdoio under HKCU\Software\Software\Microsoft\CurrentVersion\Run pointing to the copy of itself

http://www.utrace.de/?query=95.163.68.149
Provider: Digital Networks CJSC (Russia)

/ProgramData/
-rwxrwxrwx 1 root root  61440 2012-07-29 11:07 ivxpluah.exe
-rwxrwxrwx 2 root root     51 2012-07-29 11:08 kanommgughyclax

/ProgramData/hirxthipkqpxqzp
-rwxrwxrwx 1 root root   2632 2012-07-29 11:08 be-flag.png
-rwxrwxrwx 1 root root   4058 2012-07-29 11:08 be-image.png
-rwxrwxrwx 2 root root   1284 2012-07-29 11:08 btn-green.png
-rwxrwxrwx 1 root root   1063 2012-07-29 11:08 corners1.png
-rwxrwxrwx 1 root root   1070 2012-07-29 11:08 corners2.png
-rwxrwxrwx 1 root root   1050 2012-07-29 11:08 corners3.png
-rwxrwxrwx 1 root root   1053 2012-07-29 11:08 corners4.png
-rwxrwxrwx 2 root root   1183 2012-07-29 11:08 corners-btn.png
-rwxrwxrwx 1 root root     63 2012-07-29 11:08 ie6-7.css
-rwxrwxrwx 2 root root   1077 2012-07-29 11:08 jquery.main.js
-rwxrwxrwx 2 root root 118860 2012-07-29 11:08 main.html
-rwxrwxrwx 1 root root   3344 2012-07-29 11:08 McAfee.png
-rwxrwxrwx 1 root root   7102 2012-07-29 11:08 pays-be.png
-rwxrwxrwx 1 root root   7730 2012-07-29 11:08 steps-be.png
-rwxrwxrwx 1 root root   6446 2012-07-29 11:08 steps-en.png
-rwxrwxrwx 1 root root   7829 2012-07-29 11:08 steps-nl.png
-rwxrwxrwx 1 root root  11343 2012-07-29 11:08 style.css
-rwxrwxrwx 1 root root   1166 2012-07-29 11:08 tabs.png

Filename: Users/USERNAME/ms.exe
Filesize: 61440
MD5: f3487412d220421a82e4639202f34f92
SHA1: 20f435253b9d6e01796265957c0e3656300bfbcb
SHA256: 7dd75194e0dd2bab35a7d47258a239f67c2e27e82acad8832d87caf455ddbba9

or

Filename: Users/USERNAME/ms.exe
Filesize: 61440
MD5: 659799745188ab9d7a5ec5adc77b277c
SHA1: 5b872fda4a9b55a8d99f81d5cec808e036475695
SHA256: bde15f364ab0c5d589eac6fa36a3a09ece0212e155145568deab91c2c5c27e05

...

Filename: ProgramData/ivxpluah.exe
Filesize: 61440
MD5: f3487412d220421a82e4639202f34f92
SHA1: 20f435253b9d6e01796265957c0e3656300bfbcb
SHA256: 7dd75194e0dd2bab35a7d47258a239f67c2e27e82acad8832d87caf455ddbba9

Filename: ProgramData/kanommgughyclax
Filesize: 51
MD5: ce272c7b1422fba48222f746bc42acb7
SHA1: 98155f6ba2c516d704559e0d35c58ff5092d5ead
SHA256: eb0ea36b6ec9de715fda167d665d4b3f4710d7eaa7a576945f8e978be1d54d6a

Filename: ProgramData/hirxthipkqpxqzp/be-flag.png
Filesize: 2632
MD5: f84ac2491f0ba3ae8899502d581f6dfc
SHA1: 3f52a48d85b542fc710ee2c6598331dcf39d201b
SHA256: 2224e27475321dbc45a5a611e274620937da9020761ab6c20eb6c00f9bf4392a

Filename: ProgramData/hirxthipkqpxqzp/be-image.png
Filesize: 4058
MD5: 4a9dae769426d0eeaf3b47e0f104d624
SHA1: aea2d94db1a00b2c763554bb5ba545c982d0de41
SHA256: a86c64d53bb279d559ffa06bda3ec96bc6524bce164e4b9dfc0834220262a34e

Filename: ProgramData/hirxthipkqpxqzp/btn-green.png
Filesize: 1284
MD5: 3df753302655a1117422414d3c3b9d03
SHA1: cfcd7741d26f946364ae65e71bfad643e2b82880
SHA256: adb7c0e0caf07c1fe16e25515d7033d4f26b01c482916d0dd6006b3065ea08ba

Filename: ProgramData/hirxthipkqpxqzp/corners1.png
Filesize: 1063
MD5: c182296e2cc43ec650efb700a8fbe549
SHA1: 30e17d32faa405e3b889dfba2f3d2dde259d597f
SHA256: 34a25d51bc4452d19b39104036224f431b7715108cfeac1f8b20ac89f57da54c

Filename: ProgramData/hirxthipkqpxqzp/corners2.png
Filesize: 1070
MD5: 960267bd5e728f1c7b20b86cbd93e9e6
SHA1: 6a4a91c9cf8e563d5f0ec7c700840187462ca07d
SHA256: f073755f08fe28de6c8624d0d0729253109c619d9e29b42d7268df736a68a318

Filename: ProgramData/hirxthipkqpxqzp/corners3.png
Filesize: 1050
MD5: 37e0fac8c996d463cb24a008537f04b4
SHA1: ee5d89e5b136f734dd748437b71dc950ade85943
SHA256: 409b58ce7435188eabdc8cab6347fa255f4881f2cfd6acecc48f01260f68c189

Filename: ProgramData/hirxthipkqpxqzp/corners4.png
Filesize: 1053
MD5: 4c187c67961547b578ca86673799c3d1
SHA1: aeceb053f67b6d2a9c474ebbfa713c1356a0e0d4
SHA256: 171756de49d491c1ccbd1883208bf51aea09b75f7489cf38f4ea29e28d088622

Filename: ProgramData/hirxthipkqpxqzp/corners-btn.png
Filesize: 1183
MD5: 330fd10b59c0c76e249591bac15f7923
SHA1: 53dab7879e3509d25ebdabdabf34f741dc252913
SHA256: 422394d5a2d80eb54c61201b09e3c1c6a3c973ffb14247605cc0d496917956f6

Filename: ProgramData/hirxthipkqpxqzp/ie6-7.css
Filesize: 63
MD5: 48789da0a3cfce4fecbd5650734f191c
SHA1: 81fb509b40afb12d07257bbaa721ddd67e6cdabf
SHA256: 8434bcaa05ee3a07474930b7c44e6e3a8cdb0a771d92d0412a9a39db6d49ea8e

Filename: ProgramData/hirxthipkqpxqzp/jquery.main.js
Filesize: 1077
MD5: 20a514796945ab8813301fe33b70a5a0
SHA1: d7b9d2ad269d383a11d56120be5579156ccacc10
SHA256: b07d8cec6d48c00fb9b40f868a8f28832121d2e3f10bf52259441446a941f582

Filename: ProgramData/hirxthipkqpxqzp/main.html
Filesize: 118860
MD5: ccbb9690d6342a5c3581ca1706de1e6f
SHA1: 8658d9506d040477838e2ec391df84165e117aca
SHA256: 1970a8f107aab6da27c831762ae7c93cb56d407918fe72436b981a1c6511527b

or

Filename: ProgramData/rkaylytezwbzltx/main.html
Filesize: 118863
MD5: c4535e73758d5d381875cc873c8bcb9a
SHA1: cbbd10c7cee4aab2f0a9c4d81a0603cb9f4bac47
SHA256: 8d595ffbfd3aa1c1efae3373faedb304c8a5ff7552048fc6f9f7c456d2ebd8c2

...

Filename: ProgramData/hirxthipkqpxqzp/McAfee.png
Filesize: 3344
MD5: 5cf897617ddc61c041754862c464db19
SHA1: 2a7478e26a63519c496d54cd8013e97ce5a44479
SHA256: a3d2eb9a734e20cfdef67a0b9d9c7cda98d382cc7c9af08b596997d0997f1095

Filename: ProgramData/hirxthipkqpxqzp/pays-be.png
Filesize: 7102
MD5: d0c1c094e1c467b3f91ccaaf71541123
SHA1: f70283520a38da7a3bfcc9922a8762d7ca547eaa
SHA256: 999d81ef4f5e09d2f3e4601a064f01af4aef5bed0592e440263018817f1c2e64

Filename: ProgramData/hirxthipkqpxqzp/steps-be.png
Filesize: 7730
MD5: 876ed6bc84b92fec0fa4810750ff3a4e
SHA1: 5d302d3bf5d819f7062c90f12518f7516c4fcfdc
SHA256: e42c43b9d71db752e9180bb95de4d2abc87686854e5234b99448eed282e46c99

Filename: ProgramData/hirxthipkqpxqzp/steps-en.png
Filesize: 6446
MD5: 0e291883dcc288fdf9d94df6db650a56
SHA1: 33dd852f5ea1e379c8a8021bcfe198cd477288b5
SHA256: 806da28220b4cec0984dde8a22fcf3797d0058d1581bd8e7de4811f244435f7c

Filename: ProgramData/hirxthipkqpxqzp/steps-nl.png
Filesize: 7829
MD5: caeecd2a7bff3d4871089a0d9c2a5482
SHA1: 4b9129124b7cd86a45b599c569c26b5b7d396418
SHA256: 013ecd3fd70b4aab09f549de75d513a1b057ac1af524b2f10b691acc02486b1b

Filename: ProgramData/hirxthipkqpxqzp/style.css
Filesize: 11343
MD5: 0a93c6bcd24708a5fcbd02f9768e0630
SHA1: 014a4ea72a8530257efc56e0cab8bfe497c74bbc
SHA256: 9235f8744811d25032de8d53d205f6aca58f779029e5db2bdbf7419bc4c6c212

Filename: ProgramData/hirxthipkqpxqzp/tabs.png
Filesize: 1166
MD5: c50867b55d995f106d06005709325195
SHA1: 121570ca5098b954f089fd2face558edb0541937
SHA256: e208ffe2cfb21ead7dca7d30ba467ea749c8490bd89d4c8796b5eb190b239a24


"Votre ordinateur est bloqué

Votre ordinateur a été bloqué par le système de contrôle automatique 
informationnel

Pourquoi ?

Cela peut se passer à cause des raisons suivantes :

1. Votre ordinateur a été utilisé pour le visionnage des sites interdits
2. Votre ordinateur a été utilisé pour le visionnage des sites comportant des éléments de pornographie d'enfants
3. Votre ordinateur a été utilisé pour le transfert de l'information interdite
4. Votre ordinateur a été utilisé pour le stockage/le visionnage du contenu sans licence

Comment corriger cela ?

Conformément à la loi sur « le contrôle informationnel et la protection 
d'information » de 02.01.2012 Vous devez payer une amende de montant 100 
euros. Pour la commodité de payement d'amende nous offrons une forme de 
payement protégée à l'aide des vouchers Ukash. Vous devez acheter un 
voucher (des vouchers) pour le montant total de 100 euros, en enregistrer 
dans la forme de payement et d'appuyer le bouton « envoyer le code ».

Qu'est-ce qui se passera après l'indication de code ?

Après l'indication de code il sera vérifié par notre système et votre 
ordinateur sera débloquer immédiatement. Si Vous voulez indiquer 2 codes 
de 50 euros, il Vous faut d'abord indiquer un code et après sa 
confirmation indiquer le deuxième code.

Qu'est-ce qu'il faut faire au cas d'apparition des problèmes ?

Si pour n'importes quelles raisons Vous n'êtes pas arrivés à payer une 
amende à l'aide d'une forme de payement protégée il faut nous écrire une 
lettre à ce courrier info@online-cyber-police.com et y indiquer votre
adresse ip et un code (des codes) de vaucher (-s) Ukash pour le montant
100 euros.
Après la vérification du code par notre système Votre ordinateur sera 
débloqué immédiatement."



"Uw computer is geblokkeerd

Uw computer is geblokkeerd door het systeem van een automatische 
informatiecontrole

Waarom?

Dat kan gebeuren om één van de volgende redenen:

1. Uw computer werd gebruikt om verboden websites te raadplegen.
2. Uw computer werd gebruikt om verboden websites te bekijken die elementen van kinderpornografie bevatten.
3. Uw computer werd gebruikt om verboden informatie door te geven.
4. Uw computer werd gebruikt voor het bewaren/bekijken van illegaal content.

Hoe is het te verbeteren?

Volgens de wet "Over informatiecontrole en bescherming van informatie" 
d.d. 02.01.2012 bent u verplicht een boete ten hoogte van 100 euro te 
betalen. Om de betaling van de boete te vergemakkelijken bieden wij een 
beschermde betalingswijze aan via vouchers Ukash. U dient vouchers ter 
waarde van 100 euro in totaal te kopen, daarna hun nummers in het 
betaalformulier in te schrijven en daarna op het knopje "Code versturen" 
te drukken.

Wat gebeurt er nadat ik de code heb ingevoerd?

Nadat de code door ons systeem wordt gecontroleerd, wordt uw computer 
onmiddellijk gedeblokkeerd. Als u twee codes à € 50 intoetst, toetst u 
eerst een code, en, nadat u de bevestiging heeft ontvangen, voert u de 
volgende code in.

Wat moet ik doen als er problemen zijn ontstaan?

Als het u niet gelukt is om welke reden dan ook de boete via het 
beschermde systeem te voldoen, dient u een e-mailbericht te schrijven naar 
het volgende adres info@online-cyber-police.com, waarin u uw adres en 
codes van voucher (-s) Ukash ter waarde van 100 euro moet aangeven.
Nadat u code door ons systeem is gecontroleerd, wordt uw computer 
onmiddellijk gedeblokkeerd."



"Your computer is locked

Your computer has been locked by the automated information control 
system (AICS)

What is the reason?

This could be due to one of the following reasons:

1. Your computer has been used to view banned Web sites
2. Your computer has been used to view Web sites containing child pornography
3. Your computer has been used to illicit information exchange
4. Your computer has been used for storing / viewing pirated content

What should I do?

According to "Information Security and Control Act (ISCA) 2012", you 
are required to pay a fine of 100 Euro. For the convenience of 
paying the fine we provide a secure payment gateway for Ukash 
Vouchers. You need to buy Ukash voucher(s) for sum of 100 Euro and 
enter the 19 (sometimes 16) digit code written on the voucher to the 
secure payment form, then press "Sumbmit Code" button to send the 
code.

What will happen after I submit the code?

Once the Ukash voucher code is verified by our system your computer 
will be immediately unlocked.
If you want to pay a fine using two codes of 50 Euro each - you 
should enter the first code, after receiving confirmation, the 
second code.

What if I have problems?

If for any reason you can not pay the fine through a secure payment 
form, you will need to send an e-mail to 
info@online-cyber-police.com, stating your IP address and Ukash 
voucher code (19 digits or 16 digits) of total sum 100 Euro.
Once the code is verified by our system your computer will be 
immediately unlocked."