RANSOM_CYCLONE.A

Instalación

Agrega las carpetas siguientes:

• %User Temp%\_MEI11762

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Este malware infiltra el/los siguiente(s) archivo(s):

• %User Temp%\_MEI11762\Crypto.Cipher._AES.pyd
• %User Temp%\_MEI11762\Crypto.Cipher._DES.pyd
• %User Temp%\_MEI11762\Crypto.Cipher._DES3.pyd
• %User Temp%\_MEI11762\Crypto.Hash._SHA256.pyd
• %User Temp%\_MEI11762\Crypto.Random.OSRNG.winrandom.pyd
• %User Temp%\_MEI11762\Crypto.Util._counter.pyd
• %User Temp%\_MEI11762\Crypto.Util.strxor.pyd
• %User Temp%\_MEI11762\Main.exe.manifest
• %User Temp%\_MEI11762\Microsoft.VC90.CRT.manifest
• %User Temp%\_MEI11762\_hashlib.pyd
• %User Temp%\_MEI11762\_socket.pyd
• %User Temp%\_MEI11762\_ssl.pyd
• %User Temp%\_MEI11762\bz2l.pyd
• %User Temp%\_MEI11762\msvcm90.dll
• %User Temp%\_MEI11762\msvcp90.dll
• %User Temp%\_MEI11762\msvcr90.dll
• %User Temp%\_MEI11762\pyexpat.pyd
• %User Temp%\_MEI11762\python27.dll
• %User Temp%\_MEI11762\pywintypes27.dll
• %User Temp%\_MEI11762\select..pyd
• %User Temp%\_MEI11762\unicodedata.pyd
• %User Temp%\_MEI11762\win32api.pyd
• %User Temp%\_MEI11762\win32event.pyd
• %User Temp%\_MEI11762\win32file.pyd
• %User Temp%\_MEI11762\wx._controls_.pyd
• %User Temp%\_MEI11762\wx._core_.pyd
• %User Temp%\_MEI11762\wx._gdi_.pyd
• %User Temp%\_MEI11762\wx._misc_.pyd
• %User Temp%\_MEI11762\wx._windows_.pyd
• %User Temp%\_MEI11762\wx._xrc_.pyd
• %User Temp%\_MEI11762\wxbase30u_net_vc90.dll
• %User Temp%\_MEI11762\wxbase30u_vc90.dll
• %User Temp%\_MEI11762\wxbase30u_xml_vc90.dll
• %User Temp%\_MEI11762\wxmsw30u_adv_vc90.dll
• %User Temp%\_MEI11762\wxmsw30u_core_vc90.dll
• %User Temp%\_MEI11762\wxmsw30u_html_vc90.dll
• %User Temp%\_MEI11762\wxmsw30u_xrc_vc90.dll
• %User Temp%\_MEI11762\Include\pyconfig.h
• %User Temp%\_MEI11762\bitcoin.bmp
• %User Temp%\_MEI11762\lock.bmp
• %User Temp%\_MEI11762\lock.ico
• %User Temp%\_MEI11762\runtime.cfg
• %Application Data%\encrypted_files.txt

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Agrega los procesos siguientes:

• vssadmin Delete Shadows /All /Quiet

Técnica de inicio automático

Crea las siguientes entradas de registro para activar la ejecución automática del componente infiltrado cada vez que arranque el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Crypter = {malware path}\{malware name}