TROJ_CRILOCK.SER

Se conecta a un sitio Web para enviar y recibir información. However, as of this writing, the said sites are inaccessible.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• %WINDOWS%\{random filename}.exe

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

• %All Users Profile%\%Application Data%\{random folder name}\03000000 ← encrypted copy of ransom note
• %All Users Profile%\%Application Data%\{random folder name}\04000000
• %All Users Profile%\%Application Data%\{random folder name}\01000000 - encrypted copy of itself
• %All Users Profile%\%Application Data%\{random folder name}\02000000
• %All Users Profile%\%Application Data%\{random folder name}\00000000

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Agrega los procesos siguientes:

• explorer.exe

Este malware inyecta códigos en el/los siguiente(s) proceso(s):

• added explorer.exe

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random letters} = "%Windows%\{random filename}.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter
EnabledV9 = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter
EnabledV8 = "0"

Rutina de puerta trasera

Se conecta a los sitios Web siguientes para enviar y recibir información:

• http://{BLOCKED}raje.ru/topic.php

However, as of this writing, the said sites are inaccessible.

Robo de información

Recopila los siguientes datos:

• Machine GUID
• Computer name

Otros detalles

Cifra los archivos con las extensiones siguientes:

• wb2
• psd
• p7c
• p7b
• p12
• pfx
• pem
• crt
• cer
• der
• pl
• py
• lua
• css
• js
• asp
• php
• incpas
• asm
• hpp
• h
• cpp
• c
• 7z
• zip
• rar
• drf
• blend
• apj
• 3ds
• dwg
• sda
• ps
• pat
• fxg
• fhd
• fh
• dxb
• drw
• design
• ddrw
• ddoc
• dcs
• csl
• csh
• cpi
• cgm
• cdx
• cdrw
• cdr6
• cdr5
• cdr4
• cdr3
• cdr
• awg
• ait
• ai
• agd1
• ycbcra
• x3f
• stx
• st8
• st7
• st6
• st5
• st4
• srw
• srf
• sr2
• sd1
• sd0
• rwz
• rwl
• rw2
• raw
• raf
• ra2
• ptx
• pef
• pcd
• orf
• nwb
• nrw
• nop
• nef
• ndd
• mrw
• mos
• mfw
• mef
• mdc
• kdc
• kc2
• iiq
• gry
• grey
• gray
• fpx
• fff
• exf
• erf
• dng
• dcr
• dc2
• crw
• craw
• cr2
• cmt
• cib
• ce2
• ce1
• arw
• 3pr
• 3fr
• mpg
• jpeg
• jpg
• mdb
• sqlitedb
• sqlite3
• sqlite
• sql
• sdf
• sav
• sas7bdat
• s3db
• rdb
• psafe3
• nyf
• nx2
• nx1
• nsh
• nsg
• nsf
• nsd
• ns4
• ns3
• ns2
• myd
• kpdx
• kdbx
• idx
• ibz
• ibd
• fdb
• erbsql
• db3
• dbf
• db-journal
• db
• cls
• bdb
• al
• adb
• backupdb
• bik
• backup
• bak
• bkp
• moneywell
• mmw
• ibank
• hbk
• ffd
• dgc
• ddd
• dac
• cfp
• cdf
• bpw
• bgt
• acr
• ac2
• ab4
• djvu
• pdf
• sxm
• odf
• std
• sxd
• otg
• sti
• sxi
• otp
• odg
• odp
• stc
• sxc
• ots
• ods
• sxg
• stw
• sxw
• odm
• oth
• ott
• odt
• odb
• csv
• rtf
• accdr
• accdt
• accde
• accdb
• sldm
• sldx
• ppsm
• ppsx
• ppam
• potm
• potx
• pptm
• pptx
• pps
• pot
• ppt
• xlw
• xll
• xlam
• xla
• xlsb
• xltm
• xltx
• xlsm
• xlsx
• xlm
• xlt
• xls
• xml
• dotm
• dotx
• docm
• docx
• dot
• doc
• txt
• wb2
• psd
• p7c
• p7b
• p12
• pfx
• pem
• crt
• cer
• der
• pl
• py
• lua
• css
• js
• asp
• php
• incpas
• asm
• hpp
• h
• cpp
• c
• 7z
• zip
• rar
• drf
• blend
• apj
• 3ds
• dwg
• sda
• ps
• pat
• fxg
• fhd
• fh
• dxb
• drw
• design
• ddrw
• ddoc
• dcs
• csl
• csh
• cpi
• cgm
• cdx
• cdrw
• cdr6
• cdr5
• cdr4
• cdr3
• cdr
• awg
• ait
• ai
• agd1
• ycbcra
• x3f
• stx
• st8
• st7
• st6
• st5
• st4
• srw
• srf
• sr2
• sd1
• sd0
• rwz
• rwl
• rw2
• raw
• raf
• ra2
• ptx
• pef
• pcd
• orf
• nwb
• nrw
• nop
• nef
• ndd
• mrw
• mos
• mfw
• mef
• mdc
• kdc
• kc2
• iiq
• gry
• grey
• gray
• fpx
• fff
• exf
• erf
• dng
• dcr
• dc2
• crw
• craw
• cr2
• cmt
• cib
• ce2
• ce1
• arw
• 3pr
• 3fr
• mpg
• jpeg
• jpg
• mdb
• sqlitedb
• sqlite3
• sqlite
• sql
• sdf
• sav
• sas7bdat
• s3db
• rdb
• psafe3
• nyf
• nx2
• nx1
• nsh
• nsg
• nsf
• nsd
• ns4
• ns3
• ns2
• myd
• kpdx
• kdbx
• idx
• ibz
• ibd
• fdb
• erbsql
• db3
• dbf
• db-journal
• db
• cls
• bdb
• al
• adb
• backupdb
• bik
• backup
• bak
• bkp
• moneywell
• mmw
• ibank
• hbk
• ffd
• dgc
• ddd
• dac
• cfp
• cdf
• bpw
• bgt
• acr
• ac2
• ab4
• djvu
• pdf
• sxm
• odf
• std
• sxd
• otg
• sti
• sxi
• otp
• odg
• odp
• stc
• sxc
• ots
• ods
• sxg
• stw
• sxw
• odm
• oth
• ott
• odt
• odb
• csv
• rtf
• accdr
• accdt
• accde
• accdb
• sldm
• sldx
• ppsm
• ppsx
• ppam
• potm
• potx
• pptm
• pptx
• pps
• pot
• ppt
• xlw
• xll
• xlam
• xla
• xlsb
• xltm
• xltx
• xlsm
• xlsx
• xlm
• xlt
• xls
• xml
• dotm
• dotx
• docm
• docx
• dot
• doc
• txt

Sustituye los nombres de los archivos cifrados por los nombres siguientes:

• {original file name and extension}.encrypted