Ransom.Win64.CRYPTWOFOUR.THGOBBE

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Infiltra los archivos siguientes:

• %User Temp%\rmsw.bat
• %User Temp%\msin.bat

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

Agrega los procesos siguientes:

• cmd.exe /c vssadmin delete shadows /all /quiet

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• Global\A0:236:Main

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSRuntime
D_th{File Count} = 2_{Path To Found File Name}

Otros detalles

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSRuntime

Hace lo siguiente:

• Based on code analysis, it may encrypt the following files\files found in the following paths:
  • \anydesk\
  • \AppData\Local\
  • \AppData\LocalLow\
  • \AppData\Roaming\
  • \Chrome Remote Desktop\
  • \ntuser.dat
  • \ntuser.ini
  • \Program Files\CloudBerryLab\CloudBerry Backup
  • \Public\Documents\iconcache.ini
  • \Public\Documents\iconcache.log
  • \Public\Pictures\log
  • %Program Files%
  • %Program Files% (x86)
  • %Program Files% (x86)\COMODO
  • %Program Files% (x86)\Dropbox
  • %Program Files% (x86)\Google
  • %Program Files% (x86)\Trend Micro
  • %Program Files% (x86)\Windows Defender
  • %Program Files%(x86)\Kaspersky Lab
  • %Program Files%(x86)\Microsoft
  • %Program Files%(x86)\Sophos
  • %Program Files%(x86)\Symantec
  • %Program Files%\AhnLab
  • %Program Files%\CloudBerryLab\CloudBerry Backup
  • %Program Files%\COMODO
  • %Program Files%\Dropbox
  • %Program Files%\ESTsoft
  • %Program Files%\Google
  • %Program Files%\Kaspersky Lab
  • %Program Files%\Microsoft
  • %Program Files%\Sophos
  • %Program Files%\Symantec
  • %Program Files%\Trend Micro
  • %Program Files%\VMware
  • %Program Files%\Windows Defender
  • %Program Files%\Windows Defender Advanced Threat Protection
  • %Program Files%\WindowsApps
  • %ProgramData%
  • %ProgramData%\AhnLab
  • %ProgramData%\Comodo
  • %ProgramData%\Comodo Downloader
  • %ProgramData%\Dropbox
  • %ProgramData%\ESTsoft
  • %ProgramData%\Kaspersky Lab
  • %ProgramData%\Microsoft OneDrive
  • %ProgramData%\Sophos
  • %ProgramData%\ssh
  • %ProgramData%\Symantec
  • %ProgramData%\Trend Micro
  • %ProgramData%\VMware
  • %ProgramData%\Windows
  • %System Root%\Users
  • %System Root%\Users\.N
  • %System Root%\users\All Users
  • %Windows%

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).