RANSOM_HDDCRYPTOR.AUSE
Windows
Threat Type:
Ransomware
Destructiveness:
No
Encrypted:
No
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
Instalación
Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):
- %System Root%\xampp\dcapi.dll
- %System Root%\xampp\dccon.exe - DiskCryptor Console
- %System Root%\xampp\dcinst.exe
- %System Root%\xampp\dcrypt.sys
- %System Root%\xampp\log.txt
- %System%\drivers\dcrypt.sys
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).)Técnica de inicio automático
Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\dcrypt
ImagePath = %System%\drivers\dcrypt.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\DefragmentService
ImagePath = {Malware Path and Filename}.exe {password} /accepteula
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\dcrypt
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\dcrypt\config
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\dcrypt\Instances
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\dcrypt\Security
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\dcrypt\Enum
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\DefragmentService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\DefragmentService\Security
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\DefragmentService\Enum
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\dcrypt
Type = 00000001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\dcrypt
Start = 00000000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\dcrypt
ErrorControl = 00000003
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\dcrypt
DisplayName = DiskCryptor driver
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\dcrypt
Group = Filter
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\dcrypt
DependOnService = {hex values}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\dcrypt
DependOnGroup = {hex values}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\dcrypt\config
Flags = {hex values}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\dcrypt\config
Hotkeys = {hex values}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\dcrypt\config
sysBuild = {hex values}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\dcrypt\Instances
DefaultInstance = dcrypt
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\dcrypt\Instances\
dcrypt
Altitude = {hex values}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\dcrypt\Instances\
dcrypt
Flags = {hex values}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\dcrypt\Security
Security = {hex values}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\dcrypt\Enum
0 = {string values}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\dcrypt\Enum
Count = {hex values}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\dcrypt\Enum
NextInstance = {hex values}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\DefragmentService
Type = 00000010
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\DefragmentService
Start = 00000002
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\DefragmentService
ErrorControl = 00000000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\DefragmentService
DisplayName = DefragmentService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\DefragmentService
ObjectName = LocalSystem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\DefragmentService
FailureActions = {hex values}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\DefragmentService\Security
Security = {hex values}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\DefragmentService\Enum
0 = {string values}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\DefragmentService\Enum
Count = 00000001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\DefragmentService\Enum
NextInstance = 00000001
SOLUTION
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 4
Reiniciar en modo seguro
Step 5
Desactivar este servicio de malware
-
- DiskCryptor driver
- DefragmentService
Step 6
Eliminar esta clave del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
- dcrypt
- dcrypt
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
- DefragmentService
- DefragmentService
Step 7
Buscar y eliminar estos archivos
- %System Root%\xampp\dcapi.dll
- %System Root%\xampp\dccon.exe
- %System Root%\xampp\dcinst.exe
- %System Root%\xampp\dcrypt.sys
- %System Root%\xampp\log.txt
- %System%\drivers\dcrypt.sys
- %System Root%\xampp\dcapi.dll
- %System Root%\xampp\dccon.exe
- %System Root%\xampp\dcinst.exe
- %System Root%\xampp\dcrypt.sys
- %System Root%\xampp\log.txt
- %System%\drivers\dcrypt.sys
Step 8
Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como RANSOM_HDDCRYPTOR.AUSE En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Did this description help? Tell us how we did.