RANSOM_CRYPBEE.A

Para obtener una visión integral del comportamiento de este Trojan, consulte el diagrama de amenazas que se muestra a continuación.

Se conecta a determinados sitios Web para enviar y recibir información.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

• %User Temp%\taskhost.exe

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Este malware infiltra el/los siguiente(s) archivo(s):

• %User Temp%\status.z
• %User Temp%\status2.z
• %User Temp%\k.z
• %User Temp%\rtext.txt (contains ransom note)
• %User Temp%\fnames.txt (contains filenames of encrypted files)
• %Desktop%\DECRYPTION INSTRUCTIONS.txt

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
BEECrypt = "%User Temp%\taskhost.exe"

Otras modificaciones del sistema

Este malware establece la imagen siguiente como fondo de escritorio del sistema:

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• http://{BLOCKED}room.pk/assets/timepicker/x.php?

Cifra los archivos con las extensiones siguientes:

• .1cd
• .3dm
• .3ds
• .3fr
• .3g2
• .3ga
• .3gp
• .7z
• .DTD
• .PAS
• .RAW
• .a2c
• .aa3
• .aac
• .abu
• .acc
• .accdb
• .aepx
• .ai
• .aif
• .amr
• .ape
• .apnx
• .arc
• .ari
• .arp
• .arw
• .asf
• .asm
• .asp
• .aspx
• .ass
• .asx
• .av
• .ava
• .avi
• .azw
• .azw1
• .azw3
• .azw4
• .bad
• .bak
• .bas
• .bay
• .bdcr
• .bdcu
• .bdd
• .bdp
• .bds
• .bin
• .blend
• .bmp
• .bpdr
• .bpdu
• .bsdr
• .bsdu
• .c
• .cam
• .camproj
• .ccd
• .cdi
• .cdr
• .cer
• .cgi
• .cineon
• .class
• .cmf
• .cnf
• .conf
• .config
• .cpp
• .cr2
• .crt
• .crw
• .crwl
• .cry
• .cs
• .css
• .csv
• .ctl
• .cue
• .dash
• .dat
• .db
• .dbf
• .dbx
• .dcr
• .dd
• .dds
• .der
• .des
• .dgn
• .dicom
• .disc
• .dmg
• .dng
• .doc
• .docm
• .docx
• .dotm
• .dotx
• .dsc
• .dvd
• .dwg
• .dxf
• .dxg
• .eip
• .emf
• .eml
• .eps
• .erf
• .fdb
• .fff
• .fla
• .flv
• .fmb
• .fmt
• .fmx
• .gbr
• .gdb
• .gfx
• .gho
• .gif
• .groups
• .gsd
• .gsf
• .gzip
• .h
• .hdr
• .hpp
• .htm
• .html
• .iif
• .iiq
• .img
• .ims
• .indd
• .ini
• .iso
• .iss
• .jar
• .java
• .jfif
• .jge
• .jpe
• .jpeg
• .jpg
• .js
• .jsp
• .k25
• .kdc
• .key
• .kwm
• .lit
• .log
• .lst
• .lua
• .m
• .m3u
• .m4a
• .m4v
• .ma
• .max
• .md
• .mdb
• .mdf
• .mdk
• .mef
• .mkv
• .mobi
• .mov
• .movie
• .mp1
• .mp2
• .mp3
• .mp4
• .mp4v
• .mpa
• .mpe
• .mpeg
• .mpg
• .mpv2
• .mrw
• .msg
• .mts
• .nd
• .nef
• .nrg
• .nri
• .nrw
• .number
• .obj
• .odb
• .odm
• .odp
• .ods
• .odt
• .ogg
• .openexr
• .ora
• .orf
• .p12
• .p7b
• .p7c
• .pages
• .pas
• .pbm
• .pck
• .pdb
• .pdd
• .pdf
• .pef
• .pem
• .perl
• .pfx
• .pgm
• .php
• .pic
• .pkb
• .pks
• .pl
• .plb
• .pls
• .png
• .pot
• .potm
• .potx
• .ppam
• .ppm
• .pps
• .ppsm
• .ppsx
• .ppt
• .pptm
• .pptx
• .prf
• .prn
• .ps
• .psb
• .psd
• .pspimage
• .pst
• .ptx
• .pwm
• .py
• .qba
• .qbm
• .qbr
• .qbw
• .qbx
• .qby
• .qfx
• .r3d
• .raf
• .ram
• .rar
• .raw
• .rdf
• .rdo
• .rep
• .rex
• .rf
• .rgx
• .rik
• .rm
• .rpf
• .rtf
• .rw2
• .rwl
• .safe
• .sdf
• .sldm
• .sldx
• .sql
• .sqllite
• .sr2
• .srf
• .srt
• .srw
• .sti
• .stl
• .svg
• .swf
• .sxi
• .tax
• .tex
• .tga
• .thmx
• .tif
• .tiff
• .tlg
• .toast
• .txt
• .v2i
• .vbs
• .vcd
• .vdi
• .vlc
• .vob
• .vpd
• .vsd
• .wb2
• .wma
• .wmv
• .wpd
• .wps
• .x3f
• .xbm
• .xlam
• .xlk
• .xls
• .xlsb
• .xlsm
• .xlsx
• .xltm
• .xml
• .xps
• .xsl
• .yaml
• .yuv
• .zip

Sustituye los nombres de los archivos cifrados por los nombres siguientes:

• {original file name and file extension}.crypt