RANSOM_ZYKLON.A

Se conecta a determinados sitios Web para enviar y recibir información.

Instalación

Infiltra los archivos siguientes:

• UNLOCK_FILES_README_{random charactesr}.txt (whenever it succeeds in encrypting files)
• UNLOCK_FILES_README_{random charactesr}.html (whenever it succeeds in encrypting files)

Este malware infiltra el/los siguiente(s) archivo(s):

• %Application Data%\{random characters 1}\Xmvenagxehd.xml
• %Application Data%\{random characters 1}\Zrmkwhrrxoeoaon.png

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Infiltra y ejecuta los archivos siguientes:

• %Application Data%\{random characters 1}\Cgkgcrykd.exe (detected as Ransom_ZYKLON.A)

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Deja archivos de texto a modo de notas de rescate que contienen lo siguiente:

• Your files are locked / encrypted by Zyklon Locker
• You can unlock your files by paying ~$/€250
• All your important files are encrypted using an unique 32 characters AES-256 password.
• (it will take a computer over a billion years to crack this password)
• The only way to get your files back is by purchasing the password!
• In order to unlock your files you will have to purchase the private password for this computer. For more information navigate to your personal unlocking page.
• Warning! You must pay the specified amount before {deadline, day of the week}, {deadline, Month dd, yyyy} or the amount you have to pay will TRIPLE!
• Warning! The only way to get your files back is by paying! Antivirus software CANNOT recover your files!
• Visit one of the websites below to purchase your decryption password and unlock your files!
• http://gatewaypage1.ru/e1c2a95580
• http://personalgateway1.ru/e1c2a95580
• If this website doesn't work follow the steps below
• 1. Download the TOR Browser Bundle https://www.torproject.org/projects/torbrowser.html.en#downloads
• 2. Install and then open the Tor Browser Bundle.
• 3. Inside the Tor Browser Bundle navigate to snjwcuabix664kmg.onion/e1c2a95580

Técnica de inicio automático

Infiltra el siguiente acceso directo dirigido a su copia en la carpeta de inicio del usuario para que se ejecute automáticamente cada vez que arranque el sistema:

• %Start Menu%\Programs\Startup\Cgkgcrykd.lnk

(Nota: %Start Menu% es la carpeta Menú Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Menú Inicio).

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• http://{BLOCKED}page1.ru/gate.php?action=write&1={random characters}&2={computer name}&3={username}&4={external ip address}=nlmail22&6={geolocation}
• http://{BLOCKED}gateway1.ru/gate.php?action=write&1={random characters}&2={computer name}&3={username}&4={external ip address}=nlmail22&6={geolocation}

Cifra los archivos con las extensiones siguientes:

• .pps
• .ppsm
• .ppsx
• .ppt
• .pptm
• .pptx
• .prf
• .ps
• .psafe3
• .psd
• .pspimage
• .pst
• .ptx
• .py
• .qba
• .qbb
• .qbm
• .qbr
• .qbw
• .qbx
• .qby
• .r3d
• .raf
• .rar
• .rat
• .raw
• .rdb
• .rm
• .rtf
• .rw2
• .rwl
• .rwz
• .s3db
• .sas7bdat
• .say
• .sd0
• .sda
• .sdf
• .sldm
• .sldx
• .sql
• .sqlite
• .sqlite3
• .sqlitedb
• .sr2
• .srf
• .srt
• .srw
• .st4
• .st5
• .st6
• .st7
• .st8
• .sta
• .stc
• .std
• .sti
• .stw
• .stx
• .svg
• .swf
• .sxc
• .sxd
• .sxg
• .sxi
• .sxm
• .sxw
• .tex
• .tga
• .thm
• .tiff
• .tlg
• .vb
• .vob
• .wallet
• .wav
• .wb2
• .wmv
• .wpd
• .wps
• .x11
• .x3f
• .xis
• .xla
• .xlam
• .xlk
• .xlm
• .xlr
• .xls
• .xlsb
• .xlsm
• .xlsx
• .xlt
• .xltm
• .xltx
• .xlw
• .xml
• .ycbcra
• .yuv
• .zip
• .3dm
• .3ds
• .3fr
• .3g2
• .3gp
• .3pr
• .7z
• .ab4
• .accdb
• .accde
• .accdr
• .accdt
• .ach
• .acr
• .act
• .adb
• .ads
• .agdl
• .ai
• .ait
• .al
• .apj
• .arw
• .asf
• .asm
• .asp
• .asx
• .avi
• .awg
• .back
• .backup
• .backupdb
• .bak
• .bank
• .bay
• .bdb
• .bgt
• .bik
• .bkp
• .blend
• .bpw
• .c
• .cd2
• .cdf
• .cdr
• .cdr3
• .cdr4
• .cdr5
• .cdr6
• .cdrw
• .cdx
• .ce1
• .cer
• .cfp
• .cgm
• .cib
• .class
• .cls
• .cmt
• .cpi
• .cpp
• .cr2
• .craw
• .crt
• .crw
• .cs
• .csh
• .csl
• .csv
• .dac
• .db
• .db-jounral
• .db3
• .dbb
• .dbf
• .dc2
• .dcr
• .dcs
• .ddd
• .ddoc
• .ddrw
• .dds
• .der
• .des
• .design
• .dgc
• .djvu
• .dng
• .doc
• .docm
• .docx
• .dot
• .dotm
• .dotx
• .drf
• .drw
• .dtd
• .dwg
• .dxb
• .dxf
• .dxg
• .eml
• .eps
• .erbsql
• .erf
• .exf
• .fdb
• .ffd
• .fff
• .fh
• .fhd
• .fla
• .flac
• .flv
• .fpx
• .fxg
• .gray
• .grey
• .gry
• .h
• .hbk
• .hpp
• .htm
• .ibank
• .ibd
• .ibz
• .idx
• .iif
• .iiq
• .incpas
• .indd
• .java
• .jpe
• .jpeg
• .jpg
• .kc2
• .kdb
• .kdbx
• .kdx
• .key
• .kpdx
• .lua
• .m
• .m4v
• .max
• .mdb
• .mdc
• .mdf
• .mef
• .mfw
• .mmw
• .moneywell
• .mos
• .mov
• .mp3
• .mp4
• .mpg
• .mrw
• .msg
• .myd
• .nd
• .ndd
• .nef
• .nk2
• .nop
• .nrw
• .ns2
• .ns3
• .ns4
• .nsd
• .nsf
• .nsg
• .nsh
• .nwb
• .nx2
• .nxl
• .nyf
• .oab
• .obj
• .odb
• .odc
• .odf
• .odg
• .odm
• .odp
• .ods
• .odt
• .oil
• .orf
• .ost
• .otg
• .oth
• .otp
• .ots
• .ott
• .p12
• .p7b
• .p7c
• .pab
• .pages
• .pas
• .pat
• .pcd
• .pct
• .pdb
• .pdd
• .pdf
• .pef
• .pem
• .pfx
• .php
• .pl
• .plc
• .png
• .pot
• .potm
• .potx
• .ppam

Sustituye los nombres de los archivos cifrados por los nombres siguientes:

• {original file name and file extension}.zyklon