RANSOM_WALTRIX.C

Para obtener una visión integral del comportamiento de este Trojan, consulte el diagrama de amenazas que se muestra a continuación.

Se finaliza a sí misma si detecta que está siendo ejecutada en un entorno virtual.

Instalación

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

• ProgramData\{unique ID}.key
• ProgramData\Z - deleted afterwards. contains installation date of this malware
• {folders containing encrypted files}\{unique ID}.bmp - image used as wallpaper
• {folders containing encrypted files}\{unique ID}.html - ransom note
• {folders containing encrypted files}\{unique ID}.txt - ransom note
  
     where {unique ID} contains 12 hexadecimal characters

Agrega los procesos siguientes:

• copy of the legitimate rundll32.exe named as:
  • %User Temp%\svchost.exe
• executes svchost.exe {malware}.dll,MS11{number}

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• {first 5 characters from the unique ID}

Técnica de inicio automático

Infiltra los archivos siguientes:

• %User Startup%\{unique ID}.lnk

(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).

Otras modificaciones del sistema

Modifica las siguientes entradas de registro:

HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = "0"

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "{random}\{unique ID}.bmp"

Otros detalles

Cifra los archivos con las extensiones siguientes:

• .3DM
• .3DS
• .3G2
• .3GP
• .7Z
• .ACCDB
• .AES
• .AI
• .AIF
• .APK
• .APP
• .ARC
• .ASC
• .ASF
• .ASM
• .ASP
• .ASPX
• .ASX
• .AVI
• .BMP
• .BRD
• .BZ2
• .C
• .CER
• .CFG
• .CFM
• .CGI
• .CGM
• .CLASS
• .CMD
• .CPP
• .CRT
• .CS
• .CSR
• .CSS
• .CSV
• .CUE
• .DB
• .DBF
• .DCH
• .DCU
• .DDS
• .DIF
• .DIP
• .DJV
• .DJVU
• .DOC
• .DOCB
• .DOCM
• .DOCX
• .DOT
• .DOTM
• .DOTX
• .DTD
• .DWG
• .DXF
• .EML
• .EPS
• .FDB
• .FLA
• .FLV
• .FRM
• .GADGET
• .GBK
• .GBR
• .GED
• .GIF
• .GPG
• .GPX
• .GZ
• .H
• .H
• .HTM
• .HTML
• .HWP
• .IBD
• .IBOOKS
• .IFF
• .INDD
• .JAR
• .JAVA
• .JKS
• .JPG
• .JS
• .JSP
• .KEY
• .KML
• .KMZ
• .LAY
• .LAY6
• .LDF
• .LUA
• .M
• .M3U
• .M4A
• .M4V
• .MAX
• .MDB
• .MDF
• .MFD
• .MID
• .MKV
• .MML
• .MOV
• .MP3
• .MP4
• .MPA
• .MPG
• .MS11
• .MSI
• .MYD
• .MYI
• .NEF
• .NOTE
• .OBJ
• .ODB
• .ODG
• .ODP
• .ODS
• .ODT
• .OTG
• .OTP
• .OTS
• .OTT
• .P12
• .PAGES
• .PAQ
• .PAS
• .PCT
• .PDB
• .PDF
• .PEM
• .PHP
• .PIF
• .PL
• .PLUGIN
• .PNG
• .POT
• .POTM
• .POTX
• .PPAM
• .PPS
• .PPSM
• .PPSX
• .PPT
• .PPTM
• .PPTX
• .PRF
• .PRIV
• .PRIVAT
• .PS
• .PSD
• .PSPIMAGE
• .PY
• .QCOW2
• .RA
• .RAR
• .RAW
• .RM
• .RSS
• .RTF
• .SCH
• .SDF
• .SH
• .SITX
• .SLDX
• .SLK
• .SLN
• .SQL
• .SQLITE
• .SQLITE
• .SRT
• .STC
• .STD
• .STI
• .STW
• .SVG
• .SWF
• .SXC
• .SXD
• .SXI
• .SXM
• .SXW
• .TAR
• .TBK
• .TEX
• .TGA
• .TGZ
• .THM
• .TIF
• .TIFF
• .TLB
• .TMP
• .TXT
• .UOP
• .UOT
• .VB
• .VBS
• .VCF
• .VCXPRO
• .VDI
• .VMDK
• .VMX
• .VOB
• .WAV
• .WKS
• .WMA
• .WMV
• .WPD
• .WPS
• .WSF
• .XCODEPROJ
• .XHTML
• .XLC
• .XLM
• .XLR
• .XLS
• .XLSB
• .XLSM
• .XLSX
• .XLT
• .XLTM
• .XLTX
• .XLW
• .XML
• .YUV
• .ZIP
• .ZIPX

Sustituye los nombres de los archivos cifrados por los nombres siguientes:

• {original file name.file extension}.crypt

Se finaliza a sí misma si detecta que está siendo ejecutada en un entorno virtual.