RANSOM_ALFA.A

Se conecta a determinados sitios Web para enviar y recibir información.

Instalación

Este malware infiltra una copia de sí mismo en las carpetas siguientes con diferentes nombres de archivo:

• %Application Data%\Microsoft\Essential\msestl32.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Infiltra y ejecuta los archivos siguientes:

• %Desktop%\README HOW TO DECRYPT YOUR FILES.HTML - serves as ransom note
• %Desktop%\README HOW TO DECRYPT YOUR FILES.TXT - serves as ransom note

(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).

Agrega los procesos siguientes:

• explorer.exe
• dllhost.exe

Técnica de inicio automático

Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
MSEstl = %Application Data%\Microsoft\Essential\msestl32.exe

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\(random values)

Modifica las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\(random values)
(random name) = (hex values)

Rutina de infiltración

Infiltra los archivos siguientes:

• %User Profile%\Documents\README HOW TO DECRYPT YOUR FILES.TXT - serves as ransom note
• %User Profile%\Documents\README HOW TO DECRYPT YOUR FILES.HTML - serves as ransom note
• {root drive}\README HOW TO DECRYPT YOUR FILES.TXT - serves as ransom note
• {root drive}\README HOW TO DECRYPT YOUR FILES.HTML - serves as ransom note

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• http://{BLOCKED}y.ru/(random values)

Cifra los archivos con las extensiones siguientes:

• .c
• .h
• .m
• .ai
• .cs
• .db
• .nd
• .pl
• .ps
• .py
• .rm
• .3dm
• .3ds
• .3fr
• .3g2
• .3gp
• .ach
• .arw
• .asf
• .asx
• .avi
• .bak
• .bay
• .cdr
• .cer
• .cpp
• .cr2
• .crt
• .crw
• .dbf
• .dcr
• .dds
• .der
• .des
• .dng
• .doc
• .dtd
• .dwg
• .dxf
• .dxg
• .eml
• .eps
• .erf
• .fla
• .flvv
• .hpp
• .iif
• .jpe
• .jpg
• .kdc
• .key
• .lua
• .m4v
• .max
• .mdb
• .mdf
• .mef
• .mov
• .mp3
• .mp4
• .mpg
• .mrw
• .msg
• .nef
• .nk2
• .nrw
• .oab
• .obj
• .odb
• .odc
• .odm
• .odp
• .ods
• .odt
• .orf
• .ost
• .p12
• .p7b
• .p7c
• .pab
• .pas
• .pct
• .pdb
• .pdd
• .pdf
• .pef
• .pem
• .pfx
• .pps
• .ppt
• .prf
• .psd
• .pst
• .ptx
• .qba
• .qbb
• .qbm
• .qbr
• .qbw
• .qbx
• .qby
• .r3d
• .raf
• .raw
• .rtf
• .rw2
• .rwl
• .sql
• .sr2
• .srf
• .srt
• .srw
• .svg
• .swf
• .tex
• .tga
• .thm
• .tlg
• .txt
• .vob
• .wav
• .wb2
• .wmv
• .wpd
• .wps
• .no
• .xlk
• .xlr
• .xls
• .yuv
• .back
• .docm
• .docx
• .flac
• .indd
• .java
• .jpeg
• .pptm
• .pptx
• .xlsb
• .xlsm
• .xlsx