RANSOM_CRYSIS.F117BL
Windows
Tipo de malware
Trojan
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Este malware infiltra copias de sí mismo en la carpeta de inicio común de Windows para permitir su ejecución automática cada vez que se inicia el sistema.
Detalles técnicos
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %System%\{malware filename}
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Agrega los procesos siguientes:
- mode con cp select=1251
- vssadmin delete shadows /all /quiet
Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{malware filename} = "%System%\{malware filename}"
Este malware infiltra copias de sí mismo en la carpeta de inicio común de Windows para permitir su ejecución automática cada vez que se inicia el sistema.
Otros detalles
Sustituye los nombres de los archivos cifrados por los nombres siguientes:
- {filename with extension of the encrypted file}.id-{assigned ID}.[amanda_sofost@india.com].wallet