RANSOM_REDBOOT.A
Ransom.Tox (Symantec); Trojan.Win32.KillMBR.gfd (Kaspersky); Ransom:Win32/Genasom (Microsoft)
Windows
Tipo de malware
Ransomware
Destructivo?
No
Cifrado
Sí
In the Wild:
Sí
Resumen y descripción
Reinicia el sistema afectado.
Detalles técnicos
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %User Profile%\{random numbers}\main.exe
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Infiltra los archivos siguientes:
- %User Profile%\{random numbers}\boot.asm -> will be compiled into boot.bin
- %User Profile%\{random numbers}\boot.bin -> new master boot record
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Infiltra y ejecuta los archivos siguientes:
- %User Profile%\{random numbers}\assembler.exe -> used to compile boot.asm into boot.bin
- %User Profile%\{random numbers}\overwrite.exe -> used to overwrite the existing master boot record with boot.bin
- %User Profile%\{random numbers}\protect.exe -> used to terminate process related applications
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Agrega los procesos siguientes:
- %User Profile%\{random numbers}\assembler.exe -f bin %User Profile%\{random numbers}\boot.asm -o %User Profile%\{random numbers}\boot.bin
- %User Profile%\{random numbers}\overwrite.exe %User Profile%\{random numbers}\boot.bin
- %User Profile%\{random numbers}\protect.exe
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Crea las carpetas siguientes:
- %User Profile%\{random numbers}
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Finalización del proceso
Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:
- taskmgr.exe
Otros detalles
Reinicia el sistema afectado.
Soluciones
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Rellene nuestra encuesta!