Ransom.Win32.MATRIX.AD

Elimina archivos para impedir la ejecución correcta de programas y aplicaciones.

Se conecta a determinados sitios Web para enviar y recibir información.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

• {Malware Path}\{random characters}.exe

Infiltra los archivos siguientes:

• {Malware Path}\ALL_CrDfLDmp.tmp
• {Malware Path}\log.txt
• %Application Data%\{random characters}.bmp → used as wallpaper
• %Application Data%\{random characters}.bat → contains commands to remove volume shadow copies and disable system recovery
• %Application Data%\{random characters}.vbs → contains commands to create scheduled task
• {Malware Path}\{random characters}.exe → used for file handle manipulation
• {Malware Path}\{random characters}.bat → contains commands to take ownership of a file

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Agrega los procesos siguientes:

• {Malware Path}\{8 random characters}.exe -n → if run without argument

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• MutexSCR → if run without argument
• MutexSCRDONW → if run with argument

Otras modificaciones del sistema

Elimina los archivos siguientes:

• %Application Data%\{random characters}.vbs
• %Application Data%\{random characters}.bat

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Cambia el fondo de escritorio mediante la modificación de las siguientes entradas de registro:

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %Application Data%\{random characters}.bmp

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = 0

HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = 0

Este malware establece la imagen siguiente como fondo de escritorio del sistema:

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• http://mai-hoand.{BLOCKED}hostapp.com/addrecord.php?apikey={key}&compuser={computer name}|{username}&sid={sid}&phase=START

Cifra los archivos con las extensiones siguientes:

• .mdf
• .ndf
• .ldf
• .myd
• .eql
• .sql
• .vhd
• .sqlite
• .sqlite3
• .sqlitedb
• .hwp
• .hwt
• .hml
• .hwdt
• .hwpx
• .cell
• .nxl
• .hcdt
• .nxts
• .how
• .hpt
• .hsdt
• .xlsx
• .xls
• .docx
• .doc
• .dot
• .dotx
• .odt
• .ods
• .bak
• .tib
• .dbs
• .db
• .dbk
• .db2
• .db3
• .dbc
• .dt
• .dbs
• .dbf
• .dbx
• .mdb
• .sdf
• .ndf
• .ns2
• .ns3
• .ns4
• .nsf
• .accdb
• .vpd
• .dwg
• .cdr
• .pdf
• .jpg
• .jpeg
• .psd
• .zip
• .rar
• .7z
• .tar
• .gz