RANSOM_LOCKY.PUY

Para obtener una visión integral del comportamiento de este Trojan, consulte el diagrama de amenazas que se muestra a continuación.

Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.

Se conecta a determinados sitios Web para enviar y recibir información.

Detalles de entrada

Puede haberlo descargado el siguiente malware/grayware/spyware desde sitios remotos:

• TROJ_LOCKY.DLDRA

Este malware puede haberse descargado desde el/los sitio(s) remoto(s) siguiente(s):

• http://our.{BLOCKED}hasanjay.com.np/bg.gif

Instalación

Infiltra los archivos siguientes:

• %Desktop%\_HELP_instructions.txt - ransom note
• %Desktop%\_HELP_instructions.bmp - image used as wallpaper
• {folders containing encrypted files}\_HELP_instructions.txt - ransom note

(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).

Crea las siguientes copias de sí mismo en el sistema afectado:

• %User Temp%\svchost.exe

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Locky = "%User Temp%\svchost.exe"

Otras modificaciones del sistema

Modifica los archivos siguientes:

• It encrypts files in fixed, removable and RAM disk drives.
• It renames the encrypted files to {unique ID per victim}{identifier}.locky

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%Desktop%\_HELP_instructions.bmp"

Agrega las siguientes claves de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\{random characters}

Este malware establece la imagen siguiente como fondo de escritorio del sistema:

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• http://{BLOCKED}.{BLOCKED}.181.164/submit.php
• http://{BLOCKED}.{BLOCKED}.119.177/submit.php
• {Domain Generated Algorithm}.{ru, info, biz, work, pl ,org, pw, xyz}

  It sends the following information in encrypted form:id={victim ID}&act={getkey, gettext, stats}&affid={affiliate ID}&lang={computer language}&corp={value}&serv={value}&os={operating system}&sp={service pack}&x64={0,1}

Cifra los archivos con las extensiones siguientes:

• .n64
• .m4u
• .m3u
• .mid
• .wma
• .flv
• .3g2
• .mkv
• .3gp
• .mp4
• .mov
• .avi
• .asf
• .mpeg
• .vob
• .mpg
• .wmv
• .fla
• .swf
• .wav
• .mp3
• .qcow2
• .vdi
• .vmdk
• .vmx
• .gpg
• .aes
• .ARC
• .PAQ
• .tar
• .bz2
• .tbk
• .bak
• .tar
• .tgz
• .gz
• .7z
• .rar
• .zip
• .djv
• .djvu
• .svg
• .bmp
• .png
• .gif
• .raw
• .cgm
• .jpeg
• .jpg
• .tif
• .tiff
• .NEF
• .psd
• .cmd
• .bat
• .sh
• .class
• .jar
• .java
• .rb
• .asp
• .cs
• .brd
• .sch
• .dch
• .dip
• .pl
• .vbs
• .vb
• .js
• .h
• .asm
• .pas
• .cpp
• .c
• .php
• .ldf
• .mdf
• .ibd
• .MYI
• .MYD
• .frm
• .odb
• .dbf
• .db
• .mdb
• .sql
• .SQLITEDB
• .SQLITE3
• .011
• .010
• .009
• .008
• .007
• .006
• .005
• .004
• .003
• .002
• .001
• .pst
• .onetoc2
• .asc
• .lay6
• .lay
• .ms11
• .sldm
• .sldx
• .ppsm
• .ppsx
• .ppam
• .docb
• .mml
• .sxm
• .otg
• .odg
• .uop
• .potx
• .potm
• .pptx
• .pptm
• .std
• .sxd
• .pot
• .pps
• .sti
• .sxi
• .otp
• .odp
• .wb2
• .123
• .wks
• .wk1
• .xltx
• .xltm
• .xlsx
• .xlsm
• .xlsb
• .slk
• .xlw
• .xlt
• .xlm
• .xlc
• .dif
• .stc
• .sxc
• .ots
• .ods
• .hwp
• .602
• .dotm
• .dotx
• .docm
• .docx
• .DOT
• .3dm
• .max
• .3ds
• .xml
• .txt
• .CSV
• .uot
• .RTF
• .pdf
• .XLS
• .PPT
• .stw
• .sxw
• .ott
• .odt
• .DOC
• .pem
• .p12
• .csr
• .crt
• .key
• wallet.dat