RANSOM_WALTRIX.Y

Instalación

Este malware infiltra el/los siguiente(s) archivo(s):

• {malware path}\explorer.exe - legitimate rundll32.exe
• %User Startup%\!{unique ID}{random character 1}.lnk - component that automatically opens the image ransom note upon system startup
• %User Startup%\!{unique ID}{random character 2}.lnk - component that automatically opens the HTML ransom note upon system startup
• %Start Menu%\Programs\!{unique ID}.html
• %Start Menu%\Programs\!{unique ID}.bmp
• %Start Menu%\Programs\!{unique ID}.txt
• %Desktop%\!{unique ID}.bmp - ransom image
• %Desktop%\!{unique ID}.html - ransom note
• %Desktop%\!{unique ID}.txt - ransom note
• {folders containing encrypted files}\!{unique ID}.html - ransom note
• {folders containing encrypted files}\!{unique ID}.txt - ransom note
• For Windows XP and below:
  • %All Users Profile%\Application Data\Z - deleted afterwards. This contains the installation date of the malware
  • %User Profile%\NetHood\!{unique ID}.html
  • %User Profile%\NetHood\!{unique ID}.bmp
  • %User Profile%\NetHood\!{unique ID}.txt
  • %All Users Profile%\Application Data\!unique ID}.cfg - deleted afterwards
  • %All Users Profile%\Application Data\!{unique ID}.bmp - lockscreen image
  • %All Users Profile%\Application Data\!{unique ID}.html - ransom note

    where {unique ID} contains 12 hexadecimal characters

• For Windows 7 and above:
  • %ProgramData%\Z - deleted afterwards. This contains the installation date of the malware
  • %Application Data%\Microsoft\Windows\Network Shortcuts\!Recovery_{unique ID}.html
  • %Application Data%\Microsoft\Windows\Network Shortcuts\!Recovery_{unique ID}.bmp
  • %Application Data%\Microsoft\Windows\Network Shortcuts\!Recovery_{unique ID}.txt
  • %ProgramData%\!{unique ID}.cfg - deleted afterwards
  • %ProgramData%\!{unique ID}.bmp - lockscreen image
  • %ProgramData%\!{unique ID}.html - ransom note

    where {unique ID} contains 12 hexadecimal characters

(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).

. %Start Menu% es la carpeta Menú Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Menú Inicio).

. %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).

. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Agrega los procesos siguientes:

• {malware path}\explorer.exe {malware path and filename}.dll,XXS{number}S

  It copies the legitimate rundll32.exe as explorer.exe to the same directory of the ransomware.

Técnica de inicio automático

Este malware infiltra el/los archivo(s) siguiente(s) en la carpeta de inicio del usuario de Windows para permitir su ejecución automática cada vez que se inicia el sistema:

• %User Startup%\!{unique ID}.lnk
  where {unique ID} contains 12 hexadecimal characters

(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).

)

Otras modificaciones del sistema

Modifica los archivos siguientes:

• It encrypts files and appends the extension .crypz

Finalización del proceso

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

• cmd.exe
• taskmgr.exe
• msconfig.exe
• WerFault.exe

Otros detalles

Cifra los archivos con las extensiones siguientes:

• .3DM
• .3DS
• .3G2
• .3GP
• .4DB
• .4DL
• .4MP
• .7Z
• .A3D
• .ABM
• .ABS
• .ABW
• .ACCDB
• .ACT
• .ADN
• .ADP
• .AES
• .AF2
• .AF3
• .AFT
• .AFX
• .AGIF
• .AGP
• .AHD
• .AI
• .AIC
• .AIF
• .AIM
• .ALBM
• .ALF
• .ANI
• .ANS
• .APD
• .APK
• .APM
• .APNG
• .APP
• .APS
• .APT
• .APX
• .ARC
• .ART
• .ARW
• .ASC
• .ASE
• .ASF
• .ASK
• .ASM
• .ASP
• .ASPX
• .ASW
• .ASX
• .ASY
• .ATY
• .AVI
• .AWDB
• .AWP
• .AWT
• .AWW
• .AZZ
• .BAD
• .BAY
• .BBS
• .BDB
• .BDP
• .BDR
• .BEAN
• .BIB
• .BM2
• .BMP
• .BMX
• .BNA
• .BND
• .BOC
• .BOK
• .BRD
• .BRK
• .BRN
• .BRT
• .BSS
• .BTD
• .BTI
• .BTR
• .BZ2
• .C
• .C2
• .C4
• .C4D
• .CAL
• .CALS
• .CAN
• .CD5
• .CDB
• .CDC
• .CDG
• .CDMM
• .CDMT
• .CDR
• .CDR3
• .CDR4
• .CDR6
• .CDT
• .CER
• .CF
• .CFG
• .CFM
• .CFU
• .CGI
• .CGM
• .CIMG
• .CIN
• .CIT
• .CKP
• .CLASS
• .CLKW
• .CMA
• .CMD
• .CMX
• .CNM
• .CNV
• .COLZ
• .CPC
• .CPD
• .CPG
• .CPP
• .CPS
• .CPT
• .CPX
• .CRD
• .CRT
• .CRWL
• .CRYPT
• .CS
• .CSR
• .CSS
• .CSV
• .CSY
• .CUE
• .CV5
• .CVG
• .CVI
• .CVS
• .CVX
• .CWT
• .CXF
• .CYI
• .DAD
• .DAF
• .DB
• .DB3
• .DBF
• .DBK
• .DBT
• .DBV
• .DBX
• .DCA
• .DCB
• .DCH
• .DCS
• .DCT
• .DCU
• .DCX
• .DDL
• .DDOC
• .DDS
• .DED
• .DF1
• .DG
• .DGN
• .DGS
• .DHS
• .DIB
• .DIF
• .DIP
• .DIZ
• .DJV
• .DJVU
• .DM3
• .DMI
• .DMO
• .DNC
• .DNE
• .DOC
• .DOCB
• .DOCM
• .DOCX
• .DOCZ
• .DOT
• .DOTM
• .DOTX
• .DP1
• .DPP
• .DPX
• .DQY
• .DRW
• .DRZ
• .DSK
• .DSN
• .DSV
• .DT
• .DT2
• .DTA
• .DTD
• .DTSX
• .DTW
• .DVI
• .DVL
• .DWG
• .DX
• .DXB
• .DXF
• .DXL
• .ECO
• .ECW
• .ECX
• .EDB
• .EFD
• .EGC
• .EIO
• .EIP
• .EIT
• .EMD
• .EMF
• .EML
• .EMLX
• .EP
• .EPF
• .EPP
• .EPS
• .EPSF
• .EQL
• .ERF
• .ERR
• .ETF
• .ETX
• .EUC
• .EXR
• .FAL
• .FAQ
• .FAX
• .FB2
• .FB3
• .FBL
• .FBX
• .FCD
• .FCF
• .FDB
• .FDF
• .FDR
• .FDS
• .FDT
• .FDX
• .FDXT
• .FES
• .FFT
• .FH10
• .FH11
• .FH3
• .FH4
• .FH5
• .FH6
• .FH7
• .FH8
• .FIC
• .FID
• .FIF
• .FIG
• .FIL
• .FL
• .FLA
• .FLI
• .FLR
• .FLV
• .FM5
• .FMV
• .FODT
• .FOL
• .FP3
• .FP4
• .FP5
• .FP7
• .FPOS
• .FPT
• .FPX
• .FRM
• .FRT
• .FT10
• .FT11
• .FT7
• .FT8
• .FT9
• .FTN
• .FWDN
• .FXC
• .FXG
• .FZB
• .FZV
• .GADGET
• .GBK
• .GBR
• .GCDP
• .GDB
• .GDOC
• .GED
• .GEM
• .GEO
• .GFB
• .GGR
• .GIF
• .GIH
• .GIM
• .GIO
• .GLOX
• .GPD
• .GPG
• .GPN
• .GPX
• .GRO
• .GROB
• .GRS
• .GSD
• .GTHR
• .GTP
• .GV
• .GWI
• .GZ
• .H
• .HBK
• .HDB
• .HDP
• .HDR
• .HHT
• .HIS
• .HPG
• .HPGL
• .HPI
• .HPL
• .HS
• .HTC
• .HTM
• .HTML
• .HWP
• .HZ
• .I3D
• .IB
• .IBD
• .IBOOKS
• .ICN
• .ICON
• .IDC
• .IDEA
• .IDX
• .IFF
• .IGT
• .IGX
• .IHX
• .IIL
• .IIQ
• .IMD
• .INDD
• .INFO
• .INK
• .IPF
• .IPX
• .ITDB
• .ITW
• .IWI
• .J2C
• .J2K
• .JAR
• .JAS
• .JAVA
• .JB2
• .JBMP
• .JBR
• .JFIF
• .JIA
• .JIS
• .JKS
• .JNG
• .JOE
• .JP1
• .JP2
• .JPE
• .JPEG
• .JPG
• .JPG2
• .JPS
• .JPX
• .JRTF
• .JS
• .JSP
• .JTX
• .JWL
• .JXR
• .KDB
• .KDBX
• .KDC
• .KDI
• .KDK
• .KES
• .KEY
• .KIC
• .KLG
• .KML
• .KMZ
• .KNT
• .KON
• .KPG
• .KWD
• .LAY
• .LAY6
• .LBM
• .LBT
• .LDF
• .LGC
• .LIS
• .LIT
• .LJP
• .LMK
• .LNT
• .LP2
• .LRC
• .LST
• .LTR
• .LTX
• .LUA
• .LUE
• .LUF
• .LWO
• .LWP
• .LWS
• .LYT
• .LYXM
• .M3D
• .M3U
• .M4A
• .M4V
• .MA
• .MAC
• .MAN
• .MAP
• .MAQ
• .MAT
• .MAX
• .MB
• .MBM
• .MBOX
• .MDB
• .MDF
• .MDN
• .MDT
• .ME
• .MEF
• .MELL
• .MFD
• .MFT
• .MGCB
• .MGMT
• .MGMX
• .MID
• .MIN
• .MKV
• .MMAT
• .MML
• .MNG
• .MNR
• .MNT
• .MOBI
• .MOS
• .MOV
• .MP3
• .MP4
• .MPA
• .MPF
• .MPG
• .MPO
• .MRG
• .MRXS
• .MS11
• .MSG
• .MSI
• .MT9
• .MUD
• .MWB
• .MWP
• .MXL
• .MYD
• .MYI
• .MYL
• .NCR
• .NCT
• .NDF
• .NEF
• .NFO
• .NJX
• .NLM
• .NOTE
• .NOW
• .NRW
• .NS2
• .NS3
• .NS4
• .NSF
• .NV2
• .NYF
• .NZB
• .OBJ
• .OC3
• .OC4
• .OC5
• .OCE
• .OCI
• .OCR
• .ODB
• .ODG
• .ODM
• .ODO
• .ODP
• .ODS
• .ODT
• .OFL
• .OFT
• .OMF
• .OPLC
• .OQY
• .ORA
• .ORF
• .ORT
• .ORX
• .OTA
• .OTG
• .OTI
• .OTP
• .OTS
• .OTT
• .OVP
• .OVR
• .OWC
• .OWG
• .OYX
• .OZB
• .OZJ
• .OZT
• .P12
• .P7S
• .P96
• .P97
• .PAGES
• .PAL
• .PAN
• .PANO
• .PAP
• .PAQ
• .PAS
• .PB
• .PBM
• .PC1
• .PC2
• .PC3
• .PCD
• .PCS
• .PCT
• .PCX
• .PDB
• .PDD
• .PDF
• .PDM
• .PDN
• .PDS
• .PDT
• .PE4
• .PEF
• .PEM
• .PFF
• .PFI
• .PFS
• .PFV
• .PFX
• .PGF
• .PGM
• .PHM
• .PHP
• .PI
• .PI2
• .PI3
• .PIC
• .PICT
• .PIF
• .PIX
• .PJPG
• .PJT
• .PL
• .PLTE
• .PLUGIN
• .PM
• .PMG
• .PNG
• .PNI
• .PNM
• .PNTG
• .PNZ
• .POP
• .POT
• .POTM
• .POTX
• .PP4
• .PP5
• .PPAM
• .PPM
• .PPS
• .PPSM
• .PPSX
• .PPT
• .PPTM
• .PPTX
• .PPTX.20
• .PRF
• .PRIV
• .PRIVATE
• .PRT
• .PRW
• .PS
• .PSDE
• .PSDX
• .PSE
• .PSI
• .PSID
• .PSP
• .PSPIMAGE
• .PSW
• .PTG
• .PTH
• .PTX
• .PU
• .PVJ
• .PVM
• .PVR
• .PWA
• .PWI
• .PWR
• .PXR
• .PY
• .PZ3
• .PZA
• .PZP
• .PZS
• .QCOW2
• .QDL
• .QMG
• .QPX
• .QRY
• .QVD
• .RA
• .RAD
• .RAR
• .RAS
• .RAW
• .RCTD
• .RCU
• .RDB
• .RDDS
• .RDL
• .RFT
• .RGB
• .RGF
• .RIB
• .RIC
• .RIFF
• .RIS
• .RIX
• .RLE
• .RLI
• .RM
• .RNG
• .RPD
• .RPF
• .RPT
• .RRI
• .RSB
• .RSD
• .RSR
• .RSS
• .RST
• .RT
• .RTD
• .RTF
• .RTX
• .RUN
• .RW2
• .RWL
• .RZK
• .RZN
• .S2MV
• .S3M
• .SAF
• .SAI
• .SAM
• .SAVE
• .SBF
• .SCAD
• .SCC
• .SCH
• .SCI
• .SCM
• .SCT
• .SCV
• .SCW
• .SDB
• .SDF
• .SDM
• .SDOC
• .SDW
• .SEP
• .SFC
• .SFW
• .SGM
• .SH
• .SIG
• .SITX
• .SK1
• .SK2
• .SKM
• .SLA
• .SLD
• .SLDX
• .SLK
• .SLN
• .SLS
• .SMF
• .SMIL
• .SMS
• .SOB
• .SPA
• .SPE
• .SPH
• .SPJ
• .SPP
• .SPQ
• .SPR
• .SQB
• .SQL
• .SQLITE3
• .SQLITEDB
• .SR2
• .SRT
• .SRW
• .SSA
• .SSK
• .ST
• .STC
• .STD
• .STE
• .STI
• .STM
• .STN
• .STP
• .STR
• .STW
• .STY
• .SUB
• .SUMO
• .SVA
• .SVF
• .SVG
• .SVGZ
• .SWF
• .SXC
• .SXD
• .SXG
• .SXI
• .SXM
• .SXW
• .T2B
• .TAB
• .TAR
• .TB0
• .TBK
• .TBN
• .TCX
• .TDF
• .TDT
• .TE
• .TEX
• .TEXT
• .TF
• .TFC
• .TG4
• .TGA
• .TGZ
• .THM
• .THP
• .TIF
• .TIFF
• .TJP
• .TLB
• .TLC
• .TM
• .TM2
• .TMD
• .TMP
• .TMV
• .TMX
• .TN
• .TNE
• .TPC
• .TPI
• .TRM
• .TVJ
• .TXT
• .U3D
• .U3I
• .UDB
• .UFO
• .UFR
• .UGA
• .UNX
• .UOF
• .UOP
• .UOT
• .UPD
• .USR
• .UTF8
• .UTXT
• .V12
• .VB
• .VBR
• .VBS
• .VCF
• .VCT
• .VCXPROJ
• .VDA
• .VDB
• .VDI
• .VEC
• .VFF
• .VMDK
• .VML
• .VMX
• .VNT
• .VOB
• .VPD
• .VPE
• .VRML
• .VRP
• .VSD
• .VSDM
• .VSDX
• .VSM
• .VST
• .VSTX
• .VUE
• .VW
• .WAV
• .WB1
• .WBC
• .WBD
• .WBK
• .WBM
• .WBMP
• .WBZ
• .WCF
• .WDB
• .WDP
• .WEBP
• .WGZ
• .WIRE
• .WKS
• .WMA
• .WMDB
• .WMF
• .WMV
• .WN
• .WP
• .WP4
• .WP5
• .WP6
• .WP7
• .WPA
• .WPD
• .WPE
• .WPG
• .WPL
• .WPS
• .WPT
• .WPW
• .WRI
• .WSC
• .WSD
• .WSF
• .WSH
• .WTX
• .WVL
• .X3D
• .X3F
• .XAR
• .XCODEPROJ
• .XDB
• .XDL
• .XHTM
• .XHTML
• .XLC
• .XLD
• .XLF
• .XLGC
• .XLM
• .XLR
• .XLS
• .XLSB
• .XLSM
• .XLSX
• .XLT
• .XLTM
• .XLTX
• .XLW
• .XML
• .XPM
• .XPS
• .XWP
• .XY3
• .XYP
• .XYW
• .YAL
• .YBK
• .YML
• .YSP
• .YUV
• .Z3D
• .ZABW
• .ZDB
• .ZDC
• .ZIF
• .ZIP
• .ZIPX
• .ZW