RANSOM_CRYPTESLA.JAQ
Ransom:Win32/Tescrypt.A (Microsoft); Trojan.Cryptolocker.N (Symantec); Trojan-Ransom.Win32.Crypmod.wxx (Kaspersky)
Windows
Threat Type:
Trojan
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
Instalación
Infiltra y ejecuta los archivos siguientes:
- %Desktop%\RECOVERY.txt
- %Desktop%\RECOVERY.png
- %Desktop%\RECOVERY.html
- %Windows%\{random filename}.exe
(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).
. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKCU\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = %System%\cmd.exe /c start "" "%Windows%\{random filename}.exe"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKCU\Software\xxxsys
HKCU\Software\{ID}
Agrega las siguientes entradas de registro:
HKCU\Software\xxxsys
ID = "{random values}"
HKCU\Software\{ID}
Data = “{random values}”
HKLM\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLinkedConnections = 1
Rutina de infiltración
Infiltra los archivos siguientes:
- %My Documents%\recover_file_{random}.txt
- {folders containing encrypted files}\Recovery+{random}.png
- {folders containing encrypted files}\Recovery+{random}.txt
- {folders containing encrypted files}\Recovery+{random}.html