TROJ_CRYPWALL.TH

Este malware modifica la configuración de zona de Internet Explorer.

Se conecta a determinados sitios Web para enviar y recibir información.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

• %Application Data%\{random}.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Infiltra los archivos siguientes:

• HELP_RESTORE_FILES_{random}.html
• HELP_RESTORE_FILES_{random}.txt

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "%Application Data%\{random}.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\{random characters}
data = {DATA}

HKEY_CURRENT_USER\Software\msys
ID = {DATA}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLinkedConnections = 1

Finalización del proceso

Finaliza procesos o servicios que contienen una de las cadenas siguientes si detecta que se ejecutan en la memoria del sistema afectado:

• taskmgr
• procexp
• regedit
• msconfig
• cmd.exe

Modificación de la página de inicio y de la página de búsqueda del explorador Web

Este malware modifica la configuración de zona de Internet Explorer.

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• http://{BLOCKED}4jksfds.sd5okr8mdfe4l.com/img.php
• http://vnrue854n3weo.{BLOCKED}sdf73a.com
• https://{BLOCKED}p62kz4nzx.tor2web.blutmagie.de

Cifra los archivos con las extensiones siguientes:

• sql
• mp4
• 7z
• rar
• m4a
• wma
• avi
• wmv
• csv
• d3dbsp
• zip
• sie
• sum
• ibank
• t13
• t12
• qdf
• gdb
• tax
• pkpass
• bc6
• bc7
• bkp
• qic
• bkf
• sidn
• sidd
• mdd
• ata
• itl
• itdb
• icxs
• hvpl
• hplg
• hkdbmdbackup
• syncdb
• gho
• cas
• svg
• map
• wmo
• itm
• sb
• fos
• mov
• vdf
• ztmp
• sis
• sid
• ncf
• menu
• layout
• dmp
• blob
• esm
• vcf
• vtf
• dazip
• fpk
• mlx
• kf
• iwd
• vpk
• tor
• psk
• rim
• w3x
• fsh
• ntl
• arch00
• lvl
• snx
• cfr
• ff
• vpp_pc
• lrf
• m2
• mcmeta
• vfs0
• mpqge
• kdb
• db0
• db
• rofl
• hkx
• bar
• upk
• das
• iwi
• litemod
• asset
• forge
• ltx
• bsa
• apk
• re4
• sav
• lbf
• slm
• bik
• epk
• rgss3a
• pak
• big
• unity3d
• wotreplay
• xxx
• desc
• py
• m3u
• flv
• js
• css
• rb
• png
• jpeg
• txt
• p7c
• p7b
• p12
• pfx
• pem
• crt
• cer
• der
• x3f
• srw
• pef
• ptx
• r3d
• rw2
• rwl
• raw
• raf
• orf
• nrw
• mrwref
• mef
• erf
• kdc
• dcr
• cr2
• crw
• bay
• sr2
• srf
• arw
• 3fr
• dng
• jpe
• jpg
• cdr
• indd
• ai
• eps
• pdf
• pdd
• psd
• dbf
• mdf
• wb2
• rtf
• wpd
• dxg
• xf
• dwg
• pst
• accdb
• mdb
• pptm
• pptx
• ppt
• xlk
• xlsb
• xlsm
• xlsx
• xls
• wps
• docm
• docx
• doc
• odb
• odc
• odm
• odp
• ods
• odt

Sustituye los nombres de los archivos cifrados por los nombres siguientes:

• {original filename}.{ext}.zzz