TROJ_RANSOM.EHA

Elimina archivos para impedir la ejecución correcta de programas y aplicaciones.

Instalación

Infiltra los archivos siguientes:

• %System Root%\ProgramData\local\aescrypter.exe
• %System Root%\ProgramData\local\svchost.exe
• %System Root%\ProgramData\local\undxkpwvlk.dll
• %System Root%\ProgramData\local\vpkswnhisp.dll
• %System%\csrsstub.exe
• %System%\dcomcnfgui.exe
• %System%\tcpsvcss.exe
• %System%\tracerpts.exe
• %System%\ucsvcsh.exe
• %System%\wcmtstcsys.sss
• %System Root%\how to decrypt aes files.lnk
• All Users’ %Desktop%\how to decrypt aes files.lnk
• %System Root%\decrypt\decrypt.exe

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Crea las carpetas siguientes:

• %System Root%\decrypt
• %System Root%\ProgramData\local
• %Application Data%\WinRAR

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Otras modificaciones del sistema

Elimina los archivos siguientes:

• Files with any of the following extension:
  • .fh
  • .bkf
  • .qbb
  • .tib
  • .001
  • .113
  • .abf
  • .abk
  • .as4
  • .ate
  • .ati
  • .bac
  • .bak
  • .bck
  • .bcm
  • .bk1
  • .bkc
  • .bkp
  • .bks
  • .bpa
  • .bpb
  • .bps
  • .bup
  • .dna
  • .fbf
  • .fbw
  • .ful
  • .gho
  • .ipd
  • .jbk
  • .kb2
  • .mig
  • .nba
  • .nbf
  • .nbu
  • .nb7
  • .nbk
  • .nbs
  • .npf
  • .nps
  • .nrs
  • .oeb
  • .old
  • .qbk
  • .qic
  • .rbc
  • .rbf
  • .rdb
  • .rrr
  • .sbb
  • .sn1
  • .sn2
  • .spf
  • .spi
  • .stg
  • .tbk
  • .uci
  • .v2i
  • .wbb

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netprofms\Enum

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netprofms\Security

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WdiServiceSysHost\Enum

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WdiServiceSysHost\Security

HKEY_CURRENT_USER\Software\WinRAR SFX

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netprofms

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WdiServiceSysHost

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\WinRAR SFX
{%System Root%}%%WINDOWS%system32% = "%System%"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
svchost = "%System Root%\ProgramData\local\svchost.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netprofms
Type = "10"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netprofms
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netprofms
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netprofms
ImagePath = "%System%\ucsvcsh.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netprofms
DisplayName = "Network List System Service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netprofms
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netprofms
Description = "Identifies the networks to which the computer has connected, collects, stores properties for these networks, and notifies applications when these properties change."

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netprofms\Security
Security = "{hex values 1}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netprofms\Enum
0 = "Root\LEGACY_NETPROFMS\0000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netprofms\Enum
Count = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netprofms\Enum
NextInstance = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WdiServiceSysHost
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WdiServiceSysHost
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WdiServiceSysHost
Type = "10"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WdiServiceSysHost
ImagePath = "%System%\dcomcnfgui.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WdiServiceSysHost
DisplayName = "Diagnostic Service System Host"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WdiServiceSysHost
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WdiServiceSysHost
Description = "The Diagnostic Service System Host is used by the Diagnostic Policy Service to host diagnostics that need to run in a Local Service context. If this service is stopped, any diagnostics that depend on it will no longer function."

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WdiServiceSysHost\Security
Security = "{hex values 2}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WdiServiceSysHost\Enum
0 = "Root\LEGACY_WDISERVICESYSHOST\0000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WdiServiceSysHost\Enum
Count = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WdiServiceSysHost\Enum
NextInstance = "1"

Modifica las siguientes entradas de registro:

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
AppData = "%System Root%\Documents and Settings\LocalService\Application Data"

(Note: The default value data of the said registry entry is %System Root%\Documents and Settings\NetworkService\Application Data.)

Elimina las siguientes claves de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot

Otros detalles

Cifra los archivos con las extensiones siguientes:

• .jpeg
• .docx
• .xlsx
• .db
• .pdf
• .olk
• .dat
• .zip
• .rar
• .qbw
• .jpg
• .doc
• .psd
• .bmp
• .png
• .xls
• .txt
• .rtf
• .tif
• .xml
• .php
• .sxg
• .ods
• .sql
• .jpe
• .$er
• .4dd
• .aft
• .ahd
• .ask
• .azz
• .bib
• .bok
• .btr
• .cdb
• .cdb
• .crd
• .daf
• .db2
• .db3
• .dbc
• .dbs
• .dbf
• .dbv
• .df1
• .dp1
• .dsk
• .dta
• .dxl
• .eco
• .edb
• .eql
• .fcd
• .fdb
• .fic
• .fid
• .fol
• .gdb
• .hdb
• .his
• .ihx
• .jtx
• .lgc
• .mdb
• .mdf
• .mud
• .myd
• .ns2
• .ns3
• .ns4
• .nsf
• .nyf
• .odb
• .ora
• .owg
• .pan
• .pdb
• .pdb
• .pdm
• .phm
• .pwa
• .qvd
• .rsd
• .sbf
• .sdb
• .sdf
• .tcx
• .tdt
• .udb
• .v12
• .wdb
• .xld
• .zdb
• .fp7

Sustituye los nombres de los archivos cifrados por los nombres siguientes:

• {original file name}.aes