Ransom.Win32.YATRON.THCABAI

Infiltra copias de sí mismo en todas las unidades extraíbles y físicas del sistema. Aprovecha las vulnerabilidades del software para propagarse a otros equipos de la red.

Instalación

Infiltra los archivos siguientes:

• %Windows%\lan.dll - contains exploit configuration

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

Otras modificaciones del sistema

Modifica las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0

Propagación

Infiltra una copia de sí mismo en las carpetas siguientes que usan las redes de igual a igual (P2P):

• %User Profile%\My Documents\Downloads
• %User Profile%\My Documents\My Shared Folder
• %User Profile%\My Documents\Shared
• %Application Data%\Ares\My Shared Folder
• %Desktop%\Downloads
• %Program Files%\Shareaza\Downloads
• %Program Files%\emule\incoming\
• %Program Files%\kazaa\my shared folder\
• %Program Files%\kazaa lite\my shared folder\
• %Program Files%\kazaa lite k++\my shared folder\
• %Program Files%\icq\shared folder\
• %Program Files%\grokster\my grokster\
• %Program Files%\bearshare\shared\
• %Program Files%\edonkey2000\incoming\
• %Program Files%\morpheus\my shared folder\
• %Program Files%\limewire\shared\
• %Program Files%\tesla\files\
• %Program Files%\winmx\shared

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

Infiltra copias de sí mismo en todas las unidades extraíbles y físicas del sistema.

Aprovecha las vulnerabilidades de software siguientes para propagarse a otros equipos de la red:

• EternalBlue
• DoublePulsar

Finalización del proceso

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

• ProcessHacker
• apateDNS
• mbamgui
• mbam
• AntiLogger
• SbieCtrl
• SpyTheSpy
• SpeedGear
• wireshark
• IPBlocker
• cports
• procexp
• firefox
• vmware
• iexplore
• chrome
• dnSpy
• ILSpy

Otros detalles

Cifra los archivos con las extensiones siguientes:

• .txt
• .doc
• .tgz
• .dox
• .amv
• .mpv
• .mtv
• .asp
• .aspx
• .html
• .xml
• .psd
• .pdf
• .exe
• .rv
• .rvx
• .ved
• .wm
• .wmv
• .TXT
• .JPG
• .rar
• .xwm
• .vwma
• .midi
• .fla
• .pdf
• .wma
• .ico
• .gif
• .GIF
• .ogg
• .mpg
• .icns
• .RAR
• .png
• .zip
• .BAT
• .Exe
• .c
• .exe
• .PNG
• .7z
• .7Z
• .tar
• .gz
• .h
• .docx
• .mp3
• .xls
• .xlsx
• .ppt
• .sql
• .wmv
• .mp4
• .mp3
• .dll
• .jar
• .pptx
• .odt
• .jpg
• .tar
• .gz
• .bmp
• .pbm
• .rt
• .3g2
• .3gp
• .7zip
• .aaf
• .zip
• .aep
• .aepx
• .aet
• .ai
• .aif
• .as
• .as3
• .asf
• .asp
• .asx
• .avi
• .bmp
• .exe
• .class
• .cpp
• .cs
• .csv
• .dat
• .db
• .dbf
• .doc
• .docb
• .docm
• .docx
• .dot
• .dotm
• .dotx
• .dwg
• .dxf
• .efx
• .eps
• .fla
• .flv
• .gif
• .h
• .idml
• .iff
• .indb
• .indd
• .indl
• .indt
• .inx
• .jar
• .java
• .jpeg
• .jpg
• .js
• .m3u
• .m3u8
• .m4u
• .max
• .mdb
• .mid
• .mkv
• .mov
• .mp3
• .mp4
• .mpa
• .mpeg
• .mpg
• .msg
• .pdb
• .pdf
• .php
• .plb
• .pmd
• .png
• .pot
• .potm
• .potx
• .ppam
• .ppj
• .pps
• .ppsm
• .ppsx
• .ppt
• .pptm
• .pptx
• .prel
• .prproj
• .ps
• .psd
• .py
• .ra
• .rar
• .raw
• .rb
• .rtf
• .sdf
• .sdf
• .ses
• .sldm
• .sldx
• .sql
• .svg
• .swf
• .tif
• .txt
• .vcf
• .vob
• .wav
• .wma
• .wmv
• .wpd
• .wps
• .xla
• .xlam
• .xll
• .xlm
• .xls
• .xlsb
• .xlsm
• .xlsx
• .xlt
• .xltm
• .xltx
• .xlw
• .xml
• .xqx
• .icxs
• .webdoc
• .pdd
• .xbplate
• .fpk
• .1st
• .y
• .eps
• .odt
• .png
• .pst
• .wp5
• .pfx
• .ptx
• .cr2
• .wmv
• .yal
• .epk
• .bsa
• .crt
• .dbf
• .wpd
• .cdr
• .forge
• .csv
• .zip
• .hkx
• .xlsx
• .yml
• .sum
• .odb
• .rgss3a
• .mdb
• .rim
• .mdbackup
• .wps
• .wmv
• .ff
• .wri
• .accdb
• .wma
• .upk
• .iwi
• .docm
• .wgz
• .xx
• .kf
• .xxx
• .3fr
• .der
• .p7b
• .pkpass
• .wire
• .ai
• .wotreplay
• .wpe
• .wdp
• .orf
• .slm
• .wp7
• .mrwref
• .litemod
• .doc
• .ncf
• .wmf
• .zip
• .sie
• .wpl
• .wcf
• .vcf
• .w3x
• .m2
• .zw
• .t13
• .w
• .dcr
• .odc
• .crw
• .vpk
• .x3d
• .zif
• .indd
• .xlsx
• .m3u
• .css
• .avi
• .x
• .esm
• .wm
• .wbm
• .fsh
• .wpb
• .xy
• .vtf
• .0
• .bkf
• .srw
• .3dm
• .xlsm
• .mef
• .ppt
• .jpg
• .mddata
• .sis
• .wn
• .mov
• .pef
• .psd
• .xpm
• .zdc
• .p12
• .raw
• .tax
• .sb
• .odm
• .r3d
• .rwl
• .das
• .z
• .itm
• .xdb
• .xwp
• .m4a
• .sav
• .hplg
• .bik
• .rb
• .hkdb
• .bc7
• .nrw
• .re4
• .pem
• .menu
• .zabw
• .xy3
• .big
• .pak
• .odp
• .mdf
• .rtf
• .lrf
• .rar
• .pptm
• .xdl
• .arch
• .sid
• .wsd
• .cer
• .xld
• .xls
• .ybk
• .syncdb
• .qic
• .dmp
• .asset
• .sidd
• .wsh
• .wp
• .xll
• .wpw
• .mcmeta
• xmind
• .erf
• .wpt
• .p7c
• .dng
• .ltx
• .d3dbsp
• .svg
• .bar
• .x3f
• .x3f
• .rofl
• .xlsm
• .dba
• .3ds
• .ysp
• .c
• .wpa
• .blob
• .ods
• .xyp
• .layout
• .snx
• .py
• .wav
• .mp4wallet
• .sql
• .wp4
• .wpg
• .xf
• .1
• .pptx
• .w
• .dazip
• .2bp
• .lbf
• .jpeg
• .wbz
• .xlgc
• .wbmp
• .t12
• .xmmap
• .jpe
• .ztmp
• .gdb
• .srf
• .xml
• .wdb
• .a
• .wmo
• .sr2
• .wbd
• .z3d
• .xls
• .itdb
• .hvpl
• .xlsb
• .wp6
• .docx
• .desc
• .ntl
• .bay
• .raf
• .wot
• .wmd
• .i
• .vfs0
• .apk
• .fos
• .map
• .zi
• .mpqge
• .tor
• .cfr
• .ibank
• .7z
• .itl
• .js
• .lvl
• .wb2
• .kdb
• .db0
• .qdf
• .wbc