RANSOM_XORIST.SMA

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• %User Temp%\{random value}.exe

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

• %User Profile%\Desktop\HOW TO DECRYPT FILES.txt
• %All Users Profile%\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt
• {folders containing encrypted files}\HOW TO DECRYPT FILES.txt

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Alcmeter = %User Temp%\{random value}.exe

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.EnCiPhErEd
(Default) = "EADQEVCXIGGSVPB"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
EADQEVCXIGGSVPB
(Default) = "CRYPTED!"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
EADQEVCXIGGSVPB\DefaultIcon
(Default) = "%User Temp%\{random value}.exe,0"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
EADQEVCXIGGSVPB\shell\open\
command
(Default) = "%User Temp%\{random value}.exe"

Otros detalles

Sustituye los nombres de los archivos cifrados por los nombres siguientes:

• {original filename and extension}.EnCiPhErEd