RANSOM_WALTRIX.F

Se finaliza a sí misma si detecta que está siendo ejecutada en un entorno virtual.

Instalación

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

• %All Users Profile%\Application Data\{unique ID}.key
• %All Users Profile%\Application Data\Z - deleted afterwards; contains installation date of the malware
• {folders containing encrypted files}\!Recovery_{unique ID}.bmp - image used as wallpaper
• {folders containing encrypted files}\!Recovery_{unique ID}.html - ransom note
• {folders containing encrypted files}\!Recovery_{unique ID}.txt - ransom note

Agrega los procesos siguientes:

• copy of the file that executed the DLL ransomware (such as legitimate rundll32.exe or regsvr32.exe) named as:
  • {malware path}\svchost.exe
• executes svchost.exe {malware}.dll, MS11{number}

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• {first 5 characters from the unique ID}

Técnica de inicio automático

Infiltra los archivos siguientes:

• %User Startup%\{unique ID}.lnk

(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).

Otras modificaciones del sistema

Modifica las siguientes entradas de registro:

HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = "0"

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "{random}\{unique ID}.bmp"

Otros detalles

Cifra los archivos con las extensiones siguientes:

• .3DM
• .3DS
• .3G2
• .3GP
• .7Z
• .ACCDB
• .AES
• .AI
• .AIF
• .APK
• .APP
• .ARC
• .ASC
• .ASF
• .ASM
• .ASP
• .ASPX
• .ASX
• .AVI
• .BMP
• .BRD
• .BZ2
• .C
• .CER
• .CFG
• .CFM
• .CGI
• .CGM
• .CLASS
• .CMD
• .CPP
• .CRT
• .CS
• .CSR
• .CSS
• .CSV
• .CUE
• .DB
• .DBF
• .DCH
• .DCU
• .DDS
• .DIF
• .DIP
• .DJV
• .DJVU
• .DOC
• .DOCB
• .DOCM
• .DOCX
• .DOT
• .DOTM
• .DOTX
• .DTD
• .DWG
• .DXF
• .EML
• .EPS
• .FDB
• .FLA
• .FLV
• .FRM
• .GADGET
• .GBK
• .GBR
• .GED
• .GIF
• .GPG
• .GPX
• .GZ
• .H
• .H
• .HTM
• .HTML
• .HWP
• .IBD
• .IBOOKS
• .IFF
• .INDD
• .JAR
• .JAVA
• .JKS
• .JPG
• .JS
• .JSP
• .KEY
• .KML
• .KMZ
• .LAY
• .LAY6
• .LDF
• .LUA
• .M
• .M3U
• .M4A
• .M4V
• .MAX
• .MDB
• .MDF
• .MFD
• .MID
• .MKV
• .MML
• .MOV
• .MP3
• .MP4
• .MPA
• .MPG
• .MS11
• .MSI
• .MYD
• .MYI
• .NEF
• .NOTE
• .OBJ
• .ODB
• .ODG
• .ODP
• .ODS
• .ODT
• .OTG
• .OTP
• .OTS
• .OTT
• .P12
• .PAGES
• .PAQ
• .PAS
• .PCT
• .PDB
• .PDF
• .PEM
• .PHP
• .PIF
• .PL
• .PLUGIN
• .PNG
• .POT
• .POTM
• .POTX
• .PPAM
• .PPS
• .PPSM
• .PPSX
• .PPT
• .PPTM
• .PPTX
• .PRF
• .PRIV
• .PRIVAT
• .PS
• .PSD
• .PSPIMAGE
• .PY
• .QCOW2
• .RA
• .RAR
• .RAW
• .RM
• .RSS
• .RTF
• .SCH
• .SDF
• .SH
• .SITX
• .SLDX
• .SLK
• .SLN
• .SQL
• .SQLITE
• .SQLITE
• .SRT
• .STC
• .STD
• .STI
• .STW
• .SVG
• .SWF
• .SXC
• .SXD
• .SXI
• .SXM
• .SXW
• .TAR
• .TBK
• .TEX
• .TGA
• .TGZ
• .THM
• .TIF
• .TIFF
• .TLB
• .TMP
• .TXT
• .UOP
• .UOT
• .VB
• .VBS
• .VCF
• .VCXPRO
• .VDI
• .VMDK
• .VMX
• .VOB
• .WAV
• .WKS
• .WMA
• .WMV
• .WPD
• .WPS
• .WSF
• .XCODEPROJ
• .XHTML
• .XLC
• .XLM
• .XLR
• .XLS
• .XLSB
• .XLSM
• .XLSX
• .XLT
• .XLTM
• .XLTX
• .XLW
• .XML
• .YUV
• .ZIP
• .ZIPX

Sustituye los nombres de los archivos cifrados por los nombres siguientes:

• {original file name.file extension}.crypt

Se finaliza a sí misma si detecta que está siendo ejecutada en un entorno virtual.