Ransom.Win32.BTCAZADI.THDBIBD

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Agrega los procesos siguientes:

• %System%cmd.exe /c vssadmin.exe delete shadows /all /quiet
• %System%cmd.exe /c ping 127.0.0.1 -n 4 > nul & del {Malware File Name}.{Malware File Extension} - if selfdel parameter is used

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) y 10(64-bit) en C:\Windows\System32).

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• Global\SENATORMutex

Rutina de infiltración

Infiltra los archivos siguientes:

• {Malware File Path}\SENATOR.txt → Contains log activities

Robo de información

Acepta los siguientes parámetros:

• -path → Used to specify the path to encrypt
• -ratio → Used to specify the encryption ratio
• -nomutex → Used to disable mutex creation
• -nonetdrive → Used to disable encryption of network drives
• -selfdel → Used to delete itself after execution

Otros detalles

Hace lo siguiente:

• It sets the current process priority to highest
• It empties the Recycled Bin
• By default, it encrypts removable, fixed, and remote drives
• It avoids encrypting files with the following file names:
  • autorun.inf
  • boot.ini
  • bootfont.bin
  • bootmgr
  • bootsect.bak
  • desktop.ini
  • iconcache.db
  • ntldr
  • ntuser.dat
  • ntuser.dat.log
  • ntuser.ini
  • SENATOR ENCRYPTED.TXT
  • SENATOR.TXT
  • thumbs.db