TROJ_GULCRYPT.A
Ransom:Win32/Gulcrypt.B (Microsoft);
Windows
Tipo di minaccia informatica:
Trojan
Distruttivo?:
No
Crittografato?:
No
In the wild::
Sì
Panoramica e descrizione
Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.
Dettagli tecnici
Detalles de entrada
Puede haberlo descargado el siguiente malware/grayware/spyware desde sitios remotos:
Puede haberse descargado desde los sitios remotos siguientes:
- http://{BLOCKED}ail.com/base.rar
Instalación
A continuación crea el/los siguiente(s) archivo(s) no malicioso(s):
- C:\tempfile\number.win --> this file contains the password used to archive files, this file is deleted immediately after encryption
Crea los archivos de texto siguientes:
- {Logical Drive}:\+{user name}_files
- C:\tempfile\number.asc --> this file is the PGP encrypted version of C:\tempfile\number.win
Deja archivos de texto a modo de notas de rescate que contienen lo siguiente:
- -----BEGIN PGP MESSAGE-----
Version: 2.6.3i
{encrypted data from C:\tempfile\number.win using PGP}
-----END PGP MESSAGE-----
The files are packed in archives with a password.
Unpacked - 300 eur
To unpack the files send two files to email: {BLOCKED}aero@gmail.com
1) file you are reading now
2) one packed file (no more than 1 megabyte)
In response comes the original file and the instruction for money transfer
(The original file is proof that it is possible to return all files to their original)
After the transfer bitcoin, you will receive your password to archives.
Also coming program to automatically unpack files
Reply to your letter will come within 24 hours.
If no response comes for more than 24 hours write to reserved e-mail: {BLOCKED}aero@mail2tor.com
Soluzioni
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 3
Buscar y eliminar estos archivos
- {Logical Drive}:\+{user name}_files
- C:\tempfile\number.asc
Step 4
Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como TROJ_GULCRYPT.A En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Sondaggio