RANSOM_MAGICIAN.THEBHAH

Descarga un archivo desde un determinado localizador uniforme de recursos (URL) y le cambia el nombre posteriormente antes de almacenarlo en el sistema afectado.

Se conecta a determinados sitios Web para enviar y recibir información.

Instalación

Infiltra y ejecuta los archivos siguientes:

• %Desktop%\p{Random number}h.exe - detected as Ransom_CRYPTEAR.SM0

Finalización del proceso

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

• Explorer.exe

Rutina de descarga

Descarga archivos desde los siguientes localizadores uniformes de recursos (URL) y les cambia el nombre posteriormente antes de almacenarlos en el sistema afectado:

• https://{BLOCKED}an22.co.nf/demand/demands.jpg

Guarda los archivos que descarga con los nombres siguientes:

• %User Profile%\ransom.jpg

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• http://{BLOCKED}an22.co.nf/panell2020/createkeys.php - generates unique key for infected machine
• http://{BLOCKED}an22.co.nf/panel2020/savekey.php - saves machine name as well as unique identifier

Muestra los cuadros de mensaje siguientes: