RANSOM_CRYPGPCODE.THJ

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

• %Application Data%\{random folder name}\{random filename}.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Infiltra los archivos siguientes:

• %User Temp%\pid.txt - contains process ID of the running malware
• %User Temp%\bind.exe - program used to prevent system logoff, standy and shutdown
• %User Temp%\bind.ini - configuration of bind.exe
• %User Temp%\lol.bin
• %Desktop%\how to get data.txt - ransom note
• {Folder of encrypted files}\how to get data.txt - ransom note
• {malware path}\works_fine.bat - used to delete initial copy

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

. %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).

)

Agrega los procesos siguientes:

• taskmgr.exe
• bind.exe

Técnica de inicio automático

Este malware infiltra el/los archivo(s) siguiente(s) en la carpeta de inicio del usuario de Windows para permitir su ejecución automática cada vez que se inicia el sistema:

• %User Startup%\Windows.lnk

(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).

)

Otros detalles

Cifra los archivos con las extensiones siguientes:

• *.1cd
• *.3fr
• *.3gp
• *.7z
• *.?ar
• *.abk
• *.accdb
• *.adf
• *.ai
• *.arc
• *.arj
• *.arw
• *.ashbak
• *.ashdisk
• *.avi
• *.ba?
• *.backup
• *.bk?
• *.bmp
• *.bup
• *.cdr
• *.cdx
• *.cer
• *.cf
• *.cfu
• *.cr?
• *.cs?
• *.da?
• *.dbf
• *.dcr
• *.der
• *.dic
• *.divx
• *.djvu
• *.dng
• *.doc
• *.doc?
• *.dt
• *.dwg
• *.dx?
• *.e?f
• *.efd
• *.eps
• *.er?
• *.fbw
• *.fh
• *.flv
• *.frp
• *.gh?
• *.gif
• *.gzip
• *.hbi
• *.hdb
• *.htm
• *.html
• *.ifo
• *.img
• *.indd
• *.iso
• *.iv2i
• *.jpeg
• *.jpg
• *.kdc
• *.key
• *.kwm
• *.ld?
• *.m2v
• *.max
• *.md
• *.md?
• *.mef
• *.mkv
• *.mov
• *.mp4
• *.mpeg
• *.mpg
• *.mrw
• *.nba
• *.ndf
• *.nef
• *.nr?
• *.od?
• *.ol?
• *.one
• *.orf
• *.p12
• *.p7?
• *.pb?
• *.pd?
• *.pef
• *.pem
• *.pfx
• *.png
• *.pps
• *.pps?
• *.ppt
• *.ppt?
• *.psd
• *.pst
• *.ptx
• *.pwm
• *.qbw
• *.r??
• *.sco
• *.sef
• *.sk
• *.sr2
• *.srf
• *.srw
• *.tbk
• *.tc
• *.tib
• *.tif
• *.tmd
• *.txt
• *.v?
• *.v??
• *.v???
• *.wb2
• *.wbb
• *.wim
• *.wmv
• *.wpd
• *.wps
• *.x3f
• *.xl?
• *.xls?
• *.xml
• *.z?
• *.z??
• *.z???