RANSOM_STAMPADO.A

Para obtener una visión integral del comportamiento de este Trojan, consulte el diagrama de amenazas que se muestra a continuación.

Instalación

Infiltra los archivos siguientes:

• %Application Data%\{random 32 hex characters} - file with larger size contains list of files that was encrypted
• %Application Data%\{random 32 hex characters} - file with smaller size contains date stamp, process id and status

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Crea las siguientes copias de sí mismo en el sistema afectado:

• %Application Data%\scvhost.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKLM\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Windows Update = %Application Data%\scvhost.exe

Otras modificaciones del sistema

Modifica los archivos siguientes:

• It encrypts files and appends the extension .locked

Otros detalles

Cifra los archivos con las extensiones siguientes:

• .001
• .3fr
• .7z
• .DayZProfile
• .accdb
• .ai
• .aiml
• .ani
• .apk
• .arch00
• .arw
• .asset
• .au3
• .avi
• .bak
• .bar
• .bay
• .bc6
• .bc7
• .big
• .bik
• .bkf
• .bkp
• .blob
• .bmp
• .bsa
• .c
• .cas
• .cdr
• .cer
• .cfr
• .cpp
• .cr2
• .crt
• .crw
• .css
• .csv
• .d3dbsp
• .das
• .dazip
• .db0
• .dbfv
• .dcr
• .der
• .desc
• .dmg
• .dmp
• .dng
• .doc
• .docm
• .docx
• .dwg
• .dxg
• .epk
• .eps
• .erf
• .esm
• .ff
• .flv
• .forge
• .fos
• .fpk
• .fsh
• .gdb
• .gho
• .gif
• .hkdb
• .hkx
• .hplg
• .html
• .hvpl
• .ibank
• .ico
• .icxs
• .indd
• .itdb
• .itl
• .itm
• .iwd
• .iwi
• .jpeg
• .jpg
• .js
• .kdb
• .kdc
• .kf
• .layout
• .lbf
• .litemod
• .lrf
• .ltx
• .lvl
• .m2
• .m3u
• .m4a
• .map
• .mcgame
• .mcmeta
• .mdb
• .mdbackup
• .mddata
• .mdf
• .mef
• .menu
• .mlx
• .mov
• .mp3
• .mp4
• .mpqge
• .mrwref
• .ncf
• .nrw
• .ntl
• .odb
• .odc
• .odm
• .odp
• .ods
• .odt
• .orf
• .p12
• .p7b
• .p7c
• .pak
• .pas
• .pdd
• .pdf
• .pef
• .pem
• .pfx
• .php
• .pkpass
• .png
• .pps
• .ppsx
• .ppt
• .pptm
• .pptx
• .ps
• .psd
• .psk
• .pst
• .ptx
• .py
• .qdf
• .qic
• .r3d
• .raf
• .rar
• .raw
• .rb
• .re4
• .rgss3a
• .rim
• .rofl
• .rtf
• .rw2
• .rwl
• .sav
• .sb
• .sc2save
• .sid
• .sidd
• .sidn
• .sie
• .sis
• .skp
• .slm
• .snx
• .sql
• .sr2
• .srf
• .srw
• .sum
• .svg
• .syncdb
• .t12
• .t13
• .tax
• .tor
• .txt
• .unity3d
• .upk
• .vdf
• .vfs0
• .vpk
• .vpp_pc
• .vtf
• .w3x
• .wav
• .wb2
• .wma
• .wmo
• .wmv
• .wotreplay
• .wpd
• .wps
• .x3f
• .xf
• .xlk
• .xls
• .xlsb
• .xlsm
• .xlsx
• .xml
• .xxx
• .zip
• .ztmp