RANSOM_ZCRYPT.B
Ransom:Win32/ZCryptor.A (Microsoft); Trojan.NSIS.Agent.pw (Kaspersky); W32.Cryptolocker.AQ (Symantec)
Windows
Threat Type:
Worm
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %Application Data%\zcrypt.exe
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
)Infiltra los archivos siguientes:
- %Application Data%\cid.ztxt
- %Application Data%\public.key
- %Application Data%\AnimGif.dll
- %Application Data%\CloseKillock.mdR
- %Application Data%\Rifacimento.M
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
)Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:
- zcrypt1.0
Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
zcrypt = {path of the executed malware}
Infiltra los archivos siguientes:
- {Removable Drive Letter}:\autorun.inf
Este malware infiltra el/los archivo(s) siguiente(s) en la carpeta de inicio de Windows para permitir su ejecución automática cada vez que se inicia el sistema:
- %User Startup%\zcrypt.lnk
(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).
)Propagación
Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:
- {Removable Drive Letter}:\System.exe
Otros detalles
Cifra los archivos con las extensiones siguientes:
- .3fr
- .accdb
- .apk
- .arw
- .aspx
- .avi
- .bak
- .bay
- .bmp
- .cdr
- .cer
- .cgi
- .class
- .cpp
- .cr2
- .crt
- .crw
- .dbf
- .dcr
- .der
- .dng
- .doc
- .docx
- .dwg
- .dxg
- .emlx
- .eps
- .erf
- .gz
- .html
- .indd
- .jar
- .java
- .jpeg
- .jpg
- .jsp
- .kdc
- .log
- .mdb
- .mdf
- .mef
- .mp4
- .mpeg
- .msg
- .nrw
- .odb
- .odp
- .ods
- .odt
- .orf
- .p12
- .p7b
- .p7c
- .pdb
- .pdd
- .pef
- .pem
- .pfx
- .php
- .png
- .ppt
- .pptx
- .psd
- .pst
- .ptx
- .r3d
- .raf
- .raw
- .rtf
- .rw2
- .rwl
- .sav
- .sql
- .srf
- .srw
- .swf
- .tar
- .tar
- .txt
- .vcf
- .wb2
- .wmv
- .wpd
- .xls
- .xlsx
- .xml
- .zip
Sustituye los nombres de los archivos cifrados por los nombres siguientes:
- {original filename}.zcrypt