RANSOM_CRYPTESLA.YUYAJT
Ransom:Win32/Tescrypt.D (Microsoft); Win32/Filecoder.TeslaCrypt.I (ESET); Ransomware-FGG!F01BC5B9E080 (McAfee);
Windows
Tipo de malware
Trojan
Destructivo?
No
Cifrado
Sí
In the Wild:
Sí
Resumen y descripción
Este malware modifica la configuración de zona de Internet Explorer.
Detalles técnicos
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:
- %Windows%\{random filename}.exe
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
)Este malware infiltra el/los siguiente(s) archivo(s):
- {folders containing encrypted files}\_ReCoVeRy_+{random}.png - ransom note
- {folders containing encrypted files}\_ReCoVeRy_+{random}.html - ransom note
- {folders containing encrypted files}\_ReCoVeRy_+{random}.txt - ransom note
- %My Documents%\_ReCoVeRy_+{random}.html - ransom note
- %My Documents%\_ReCoVeRy_+{random}.txt - ransom note
- %My Documents%\recover_file_{random}.txt - ransom note
(Note: %My Documents% is usually C:\Documents and Settings\{user name}\My Documents on Windows 2000, XP, and Server 2003, or C:\Users\{user name}\Documents on Windows Vista and 7.)
Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "C:\Windows\system32\CMD.EXE /c start %Windows%\{random filename}.exe"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\zzzsys
HKEY_CURRENT_USER\Software\{ID}
Agrega las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\zzzsys
ID = "{ID}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLinkedConnections = "1"
Modificación de la página de inicio y de la página de búsqueda del explorador Web
Este malware modifica la configuración de zona de Internet Explorer.