RANSOM_JIGSAW.A

Para obtener una visión integral del comportamiento de este Trojan, consulte el diagrama de amenazas que se muestra a continuación.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

• %Application Data%\Frfx\firefox.exe
• %AppDataLocal%\Drpbx\drpbx.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Este malware infiltra los siguientes archivos no maliciosos:

• %Application Data%\System32Work\Address.txt - bitcoin address
• %Application Data%\System32Work\EncryptedFileList.txt - list of encrypted files
• %Application Data%\System32Work\dr

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Crea las carpetas siguientes:

• %Application Data%\Frfx
• %AppDataLocal%\Drpbx
• %Application Data%\System32Work

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
firefox.exe = "%Application Data%\Frfx\firefox.exe"

Otros detalles

Cifra los archivos con las extensiones siguientes:

• .jpg
• .jpeg
• .raw
• .tif
• .gif
• .png
• .bmp.accdb
• .db
• .dbf
• .mdb
• .pdb
• .sql.c
• .cpp
• .cs
• .h
• .php
• .asp
• .rb
• .java
• .jar
• .class
• .py
• .js.3dm
• .max.dwg
• .dxf.aaf
• .aep
• .aepx
• .plb
• .prel
• .prproj
• .aet
• .ppj
• .psd
• .indd
• .indl
• .indt
• .indb
• .inx
• .idml
• .pmd
• .xqx
• .xqx
• .ai
• .eps
• .ps
• .svg
• .swf
• .fla
• .as3
• .as.txt
• .doc
• .dot
• .docx
• .docm
• .dotx
• .dotm
• .docb
• .rtf
• .wpd
• .wps
• .msg
• .pdf
• .xls
• .xlt
• .xlm
• .xlsx
• .xlsm
• .xltx
• .xltm
• .xlsb
• .xla
• .xlam
• .xll
• .xlw
• .ppt
• .pot
• .pps
• .pptx
• .pptm
• .potx
• .potm
• .ppam
• .ppsx
• .ppsm
• .sldx
• .sldm.wav
• .mp3
• .aif
• .iff
• .m3u
• .m4u
• .mid
• .mpa
• .wma
• .ra
• .avi
• .mov
• .mp4
• .3gp
• .mpeg
• .3g2
• .asf
• .asx
• .flv
• .mpg
• .wmv
• .vob
• .m3u8.dat
• .csv
• .efx
• .sdf
• .vcf
• .xml
• .ses.Qbw
• .QBB
• .QBM
• .QBI
• .QBR
• .Cnt
• .Des
• .v30
• .Qbo
• .Ini
• .Lgb
• .Qwc
• .Qbp
• .Aif
• .Qba
• .Tlg
• .Qbx
• .Qby
• .1pa
• .Qpd
• .Txt
• .Set
• .Iif
• .Nd
• .Rtp
• .Tlg
• .Wav
• .Qsm
• .Qss
• .Qst
• .Fx0
• .Fx1
• .Mx0
• .FPx
• .Fxr
• .Fim
• .ptb
• .Ai
• .Pfb
• .Cgn
• .Vsd
• .Cdr
• .Cmx
• .Cpt
• .Csl
• .Cur
• .Des
• .Dsf
• .Ds4.Drw
• .Dwg.Eps
• .Ps
• .Prn
• .Gif
• .Pcd
• .Pct
• .Pcx
• .Plt
• .Rif
• .Svg
• .Swf
• .Tga
• .Tiff
• .Psp
• .Ttf
• .Wpd
• .Wpg
• .Wi
• .Raw
• .Wmf
• .Txt
• .Cal
• .Cpx
• .Shw
• .Clk
• .Cdx
• .Cdt
• .Fpx
• .Fmv
• .Img
• .Gem
• .Xcf
• .Pic
• .Mac
• .Met
• .PP4
• .Pp5
• .Ppf
• .Xls
• .Xlsx
• .Xlsm
• .Ppt
• .Nap
• .Pat
• .Ps
• .Prn
• .Sct
• .Vsd
• .wk3
• .wk4
• .XPM
• .zip
• .rar