RANSOM_ZCRYPT.A

Para obtener una visión integral del comportamiento de este Worm, consulte el diagrama de amenazas que se muestra a continuación.

Se conecta a determinados sitios Web para enviar y recibir información.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• %Application Data%\zcrypt.exe -> attributes are set to Hidden and System

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Infiltra los archivos siguientes:

• %Application Data%\btc.addr -> Bitcoin Address
• %Application Data%\cid.ztxt -> contains the victim's ID
• %Application Data%\public.key -> public key
• %Application Data%\private.key -> private key

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• zcrypt1.0

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
zcrypt = {path of the executed malware}

Infiltra los archivos siguientes:

• {Removable Drive Letter}:\autorun.inf

Este malware infiltra el/los archivo(s) siguiente(s) en la carpeta de inicio de Windows para permitir su ejecución automática cada vez que se inicia el sistema:

• %User Startup%\zcrypt.lnk -> Shortcut file for the executed malware

(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).

Propagación

Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:

• {Removable Drive Letter}:\System.exe -> attribute is set to Hidden

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• http://{BLOCKED}rewq.ml/rsa/rsa.php?computerid={victim ID}&public=1

Cifra los archivos con las extensiones siguientes:

• .3fr
• .accdb
• .apk
• .arw
• .aspx
• .avi
• .bak
• .bay
• .bmp
• .cdr
• .cer
• .cgi
• .class
• .cpp
• .cr2
• .crt
• .crw
• .dbf
• .dcr
• .der
• .dng
• .doc
• .docx
• .dwg
• .dxg
• .emlx
• .eps
• .erf
• .gz
• .html
• .indd
• .jar
• .java
• .jpeg
• .jpg
• .jsp
• .kdc
• .log
• .mdb
• .mdf
• .mef
• .mp4
• .mpeg
• .msg
• .nrw
• .odb
• .odp
• .ods
• .odt
• .orf
• .p12
• .p7b
• .p7c
• .pdb
• .pdd
• .pdf
• .pef
• .pem
• .pfx
• .php
• .png
• .ppt
• .pptx
• .psd
• .pst
• .ptx
• .r3d
• .raf
• .raw
• .rtf
• .rw2
• .rwl
• .sav
• .sql
• .srf
• .srw
• .swf
• .tar
• .tar
• .txt
• .vcf
• .wb2
• .wmv
• .wpd
• .xls
• .xlsx
• .xml
• .zip

Sustituye los nombres de los archivos cifrados por los nombres siguientes:

• {original filename}.zcrypt