RANSOM_TELANATEAR.A

Se conecta a determinados sitios Web para enviar y recibir información.

Instalación

Este malware infiltra el/los siguiente(s) archivo(s):

• %Desktop%\LEIA.txt (ransom note)

(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).

Deja archivos de texto a modo de notas de rescate que contienen lo siguiente:

• Anatel, seus arquivos foram criptografados Exigimos o fim do bloqueio de
• franquias Envie um email para anonbr7@protonmail.com para receber a senha
• We are anonymous
• Or
• MP/MS, seus arquivos foram criptografados
• Exigimos uma atua\x00e7\x00e3o que interrompa as a\x00e7\x00f5es paramilitares de fazendeiros
• Envie um email para anonbr7@protonmail.com para receber a senha
• We are anonymous

Robo de información

Recopila los siguientes datos:

• username
• computername

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• http://{BLOCKED}1.{BLOCKED}b.com/cloud.php?info=
• http://{BLOCKED}1.{BLOCKED}b.com/mpms.php?info=

Cifra los archivos con las extensiones siguientes:

• .asp
• .aspx
• .avi
• .bat
• .bk
• .bmp
• .css
• .csv
• .divx
• .doc
• .docx
• .html
• .index
• .jpeg
• .jpg
• .lnk
• .mdb
• .mkv
• .mov
• .mp3
• .mp4
• .mpeg
• .odt
• .ogg
• .pdf
• .php
• .png
• .ppt
• .pptx
• .psd
• .rar
• .sln
• .sql
• .txt
• .wav
• .wma
• .wmv
• .xls
• .xlsx
• .xml
• .zip

Sustituye los nombres de los archivos cifrados por los nombres siguientes:

• {original file name and file extension}.lok