RANSOM_ROKKU.B

Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos envían como spam.

Detalles de entrada

Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos envían como spam.

Instalación

Infiltra los archivos siguientes:

• {root drive}\README_HOW_TO_UNLOCK.TXT
• {root drive}\README_HOW_TO_UNLOCK.HTML
• {folders containing encrypted files}\README_HOW_TO_UNLOCK.TXT
• {folders containing encrypted files}\README_HOW_TO_UNLOCK.HTML

Deja archivos de texto a modo de notas de rescate que contienen lo siguiente:

• YOUR FILE HAS BEEN LOCKED
  In order to unlock your files, follow the instructions bellow:
   1. Download and install Tor Browser
   2. After a successful installation, run Tor Browser and wait for its initialization.
   3. Type in the address bar: http://zvnvp2rhe3ljwf2m.onion
   4. Follow the instructions on the site.

Otras modificaciones del sistema

Modifica los archivos siguientes:

• change the encrypted file's extension to ".rokku"

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
services\VSS
Start = "4"

(Note: The default value data of the said registry entry is "3".)

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\SystemRestore
DisableSR = "1"

(Note: The default value data of the said registry entry is "0".)

Infección de archivo

Evita infectar carpetas que contienen las cadenas siguientes:

• recycle bin
• system volume information

Finalización del proceso

Finaliza los servicios siguientes si los detecta en el sistema afectado:

• vss
• swprv
• srservice

Otros detalles

Cifra los archivos con las extensiones siguientes:

• 001
• 1dc
• 3ds
• anim
• apk
• arch00
• ari
• art
• arw
• asc
• ase
• asef
• asp
• aspx
• asset
• avi
• bak
• bar
• bay
• bc6
• bc7
• bgeo
• big
• bik
• bkf
• bkp
• blob
• bmp
• bsa
• c4d
• cap
• cas
• catpart
• catproduct
• cdr
• cef
• cer
• cfr
• cgm
• cha
• chr
• cld
• clx
• cpp
• cr2
• crt
• crw
• cs
• css
• csv
• cxx
• d3dbsp
• das
• dat
• dat
• dayzprofile
• dazip
• db
• dbf
• dbfv
• dcr
• dcs
• der
• desc
• dib
• dlc
• dle
• dlv
• dlv3
• dlv4
• dmp
• dng
• doc
• docm
• docx
• drf
• dvi
• dvr
• dwf
• dwg
• dxf
• dxg
• eip
• emf
• emz
• epf
• epk
• eps
• eps2
• eps3
• epsf
• epsp
• erf
• esm
• fbx
• ff
• fff
• fh10
• fh11
• fh7
• fh8
• fh9
• fig
• fsh
• ft8
• fxg
• gdb
• ge2
• gho
• gz
• hip
• hipnc
• hkdb
• hkx
• hplg
• hpp
• hvpl
• hxx
• iam
• ibank
• icb
• icxs
• idea
• iff
• iiq
• indd
• ipt
• iros
• irs
• rw2
• rwl
• rwz
• sav
• sbx
• sc2save
• sdf
• shp
• sid
• sidn
• sie
• sis
• skl
• skp
• sldasm
• sldprt
• slm
• slx
• slxp
• snx
• soft
• sqlite
• sqlite3
• sr2
• srf
• srw
• step
• stl
• stp
• sum
• svg
• svgz
• swatch
• syncdb
• t12
• t13
• tar
• tax
• tex
• tga
• tif
• tiff
• tor
• txt
• unity3d
• uof
• uos
• upk
• vda
• vdf
• vfl
• vfs0
• vpk
• vpp_pc
• vst
• vtf
• w3x
• wallet
• wav
• wb2
• wdx
• wma
• wmo
• wmv
• wotreplay
• wpd
• wps
• x3f
• xf
• xl
• xlk
• xlsb
• xlsm
• xlsx
• xvc
• xvz
• xxx
• ycbcra
• yuv
• zdct
• zip
• ztmp
• flt
• flv
• fmod
• forge
• fos
• fpk
• itdb
• itl
• itm
• iwd
• iwi
• j2k
• java
• jpe
• jpeg
• jpf
• jpg
• jpx
• k25
• kdb
• kdc
• kf
• kys
• lbf
• lex
• litemod
• lrf
• ltx
• lvl
• m2
• m2t
• m2ts
• m3u
• m4a
• m4v
• ma
• map
• mat
• max
• mb
• mcfi
• mcfp
• mcgame
• mcmeta
• mdb
• mdbackup
• mdc
• mddata
• mdf
• mdl
• mdlp
• mef
• mel
• menu
• mkv
• mll
• mlx
• mn
• mos
• mp
• mp4
• mrw
• mrwref
• mts
• mu
• mxf
• nb
• ncf
• nef
• nrw
• ntl
• obm
• ocdc
• odb
• odc
• odm
• odp
• ods
• odt
• omeg
• orf
• ott
• p12
• p7b
• p7c
• pak
• pct
• pcx
• pdd
• pdf
• pef
• pem
• pfx
• php
• php4
• php5
• pic
• picnc
• pkpass
• png
• ppd
• ppt
• pptm
• pptx
• prj
• prt
• prtl
• ps
• psb
• psd
• psf
• psid
• psq
• pst
• ptl
• ptx
• pwl
• pxn
• pxr
• py
• qdf
• qic
• r3d
• raa
• raf
• rar
• raw
• rb
• re4
• rgss3a
• rim
• rofl
• rtf
• rtg
• rvt