RANSOM_SURPRISE.A
Windows
Tipo de malware
Others
Destructivo?
No
Cifrado
Sí
In the Wild:
Sí
Resumen y descripción
Recopila determinada información del equipo afectado.
Detalles técnicos
Instalación
Este malware infiltra el/los siguiente(s) archivo(s):
- %Desktop%\DECRYPTION_HOWTO.Notepad - ransomnote.
- %Desktop%\surprise.bat - removes Shadow Volume Copies when executed.
- %Desktop%\Encrypted_Files.Notepad - list of encrypted files
(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).
)Deja archivos de texto a modo de notas de rescate que contienen lo siguiente:
- What happened to your files ?
All of your files were protected by a strong encryption.
There is no way to decrypt your files without the key.
If your files notimportant for you just reinstall your system.
If your files is important just email us to discuss the price and how to decrypt your files.
You can email us tonowayout@{BLOCKED}mail.com and nowayout@{BLOCKED}t.org
Write your Email to both email addresses PLS
We accept just BITCOIN if you dont know what it is just google it.
We will give instructions where and how you buy bitcoin in your country.
Price depends on how important your files and network is.it could be 0.5 bitcoin to 25 bitcoin.
You can send us a 1 encrypted file for decryption.
Feel free to email us with your country and computer name and username of the infected system.
Otras modificaciones del sistema
Modifica los archivos siguientes:
- It renames encrypted files by adding ".surprise"
Robo de información
Recopila la siguiente información del equipo afectado:
- Machine Name
- User Name
Información sustraída
Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:
- http://{BLOCKED}udio.duckdns.org/pull.php
Otros detalles
Cifra los archivos con las extensiones siguientes:
- .asf
- .xls
- .docx
- .xlsx
- .mp3
- .waw
- .jpg
- .jpeg
- .txt
- .rtf
- .doc
- .rar
- .zip
- .psd
- .tif
- .wma
- .gif
- .bmp
- .ppt
- .pptx
- .docm
- .xlsm
- .pps
- .ppsx
- .ppd
- .eps
- .png
- .ace
- .djvu
- .tar
- .cdr
- .max
- .wmv
- .avi
- .wav
- .mp4
- .pdd
- .php
- .aac
- .ac3
- .amf
- .amr
- .dwg
- .dxf
- .accdb
- .mod
- .tax2013
- .tax2014
- .oga
- .ogg
- .pbf
- .ra
- .raw
- .saf
- .val
- .wave
- .wow
- .wpk
- .3g2
- .3gp
- .3gp2
- .3mm
- .amx
- .avs
- .bik
- .dir
- .divx
- .dvx
- .evo
- .flv
- .qtq
- .tch
- .rts
- .rum
- .rv
- .scn
- .srt
- .stx
- .svi
- .swf
- .trp
- .vdo
- .wm
- .wmd
- .wmmp
- .wmx
- .wvx
- .xvid
- .3d
- .3d4
- .3df8
- .pbs
- .adi
- .ais
- .amu
- .arr
- .bmc
- .bmf
- .cag
- .cam
- .dng
- .ink
- .jif
- .jiff
- .jpc
- .jpf
- .jpw
- .mag
- .mic
- .mip
- .msp
- .nav
- .ncd
- .odc
- .odi
- .opf
- .qif
- .xwd
- .abw
- .act
- .adt
- .aim
- .ans
- .asc
- .ase
- .bdp
- .bdr
- .bib
- .boc
- .crd
- .diz
- .dot
- .dotm
- .dotx
- .dvi
- .dxe
- .mlx
- .err
- .euc
- .faq
- .fdr
- .fds
- .gthr
- .idx
- .kwd
- .lp2
- .ltr
- .man
- .mbox
- .msg
- .nfo
- .now
- .odm
- .oft
- .pwi
- .rng
- .rtx
- .run
- .ssa
- .text
- .unx
- .wbk
- .wsh
- .7z
- .arc
- .ari
- .arj
- .car
- .cbr
- .cbz
- .gz
- .gzig
- .jgz
- .pak
- .pcv
- .puz
- .rev
- .sdn
- .sen
- .sfs
- .sfx
- .sh
- .shar
- .shr
- .sqx
- .tbz2
- .tg
- .tlz
- .vsi
- .wad
- .war
- .xpi
- .z02
- .z04
- .zap
- .zipx
- .zoo
- .ipa
- .isu
- .jar
- .js
- .udf
- .adr
- .ap
- .aro
- .asa
- .ascx
- .ashx
- .asmx
- .asp
- .indd
- .asr
- .qbb
- .bml
- .cer
- .cms
- .crt
- .dap
- .htm
- .moz
- .svr
- .url
- .wdgt
- .abk
- .bic
- .big
- .blp
- .bsp
- .cgf
- .chk
- .col
- .cty
- .dem
- .elf
- .ff
- .gam
- .grf
- .h3m
- .h4r
- .iwd
- .ldb
- .lgp
- .lvl
- .map
- .md3
- .mdl
- .nds
- .pbp
- .ppf
- .pwf
- .pxp
- .sad
- .sav
- .scm
- .scx
- .sdt
- .spr
- .sud
- .uax
- .umx
- .unr
- .uop
- .usa
- .usx
- .ut2
- .ut3
- .utc
- .utx
- .uvx
- .uxx
- .vmf
- .vtf
- .w3g
- .w3x
- .wtd
- .wtf
- .ccd
- .cd
- .cso
- .disk
- .dmg
- .dvd
- .fcd
- .flp
- .img
- .isz
- .mdf
- .mds
- .nrg
- .nri
- .vcd
- .vhd
- .snp
- .bkf
- .ade
- .adpb
- .dic
- .cch
- .ctt
- .dal
- .ddc
- .ddcx
- .dex
- .dif
- .dii
- .itdb
- .itl
- .kmz
- .lcd
- .lcf
- .mbx
- .mdn
- .odf
- .odp
- .ods
- .pab
- .pkb
- .pkh
- .pot
- .potx
- .pptm
- .psa
- .qdf
- .qel
- .rgn
- .rrt
- .rsw
- .rte
- .sdb
- .sdc
- .sds
- .sql
- .stt
- .tcx
- .thmx
- .txd
- .txf
- .upoi
- .vmt
- .wks
- .wmdb
- .xl
- .xlc
- .xlr
- .xlsb
- .xltx
- .ltm
- .xlwx
- .mcd
- .cap
- .cc
- .cod
- .cp
- .cpp
- .cs
- .csi
- .dcp
- .dcu
- .dev
- .dob
- .dox
- .dpk
- .dpl
- .dpr
- .dsk
- .dsp
- .eql
- .ex
- .f90
- .fla
- .for
- .fpp
- .jav
- .java
- .lbi
- .owl
- .pl
- .plc
- .pli
- .pm
- .res
- .rsrc
- .so
- .swd
- .tpu
- .tpx
- .tu
- .tur
- .vc
- .yab
- .aip
- .amxx
- .ape
- .api
- .mxp
- .oxt
- .qpx
- .qtr
- .xla
- .xlam
- .xll
- .xlv
- .xpt
- .cfg
- .cwf
- .dbb
- .slt
- .bp2
- .bp3
- .bpl
- .clr
- .dbx
- .jc
- .potm
- .ppsm
- .prc
- .prt
- .shw
- .std
- .ver
- .wpl
- .xlm
- .yps
- .1cd
- .bck
- .html
- .bak
- .odt
- .pst
- .log
- .mpg
- .mpeg
- .odb
- .wps
- .xlk
- .mdb
- .dxg
- .wpd
- .wb2
- .dbf
- .ai
- .3fr
- .arw
- .srf
- .sr2
- .bay
- .crw
- .cr2
- .dcr
- .kdc
- .erf
- .mef
- .mrw
- .nef
- .nrw
- .orf
- .raf
- .rwl
- .rw2
- .r3d
- .ptx
- .pef
- .srw
- .x3f
- .der
- .pem
- .pfx
- .p12
- .p7b
- .p7c
- .jfif
- .exif
- .rar
Soluciones
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 3
Reiniciar en modo seguro
Step 4
Buscar y eliminar estos archivos
- %Desktop%\DECRYPTION_HOWTO.Notepad
- %Desktop%\surprise.bat
- %Desktop%\Encrypted_Files.Notepad
- %Desktop%\DECRYPTION_HOWTO.Notepad
- %Desktop%\surprise.bat
- %Desktop%\Encrypted_Files.Notepad
Step 5
Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como RANSOM_SURPRISE.A En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Step 7
Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como RANSOM_SURPRISE.A En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Rellene nuestra encuesta!