TROJ_CRITOLOCK.A
Trojan-Ransom.Win32.Crypren.pzj(Kaspersky), Ransom:MSIL/Glock.A(Microsoft), RDN/Ransom!ej(McAfee), Troj/dnRan-A(Sophos), a variant of MSIL/LockScreen.JV trojan(Eset), Trojan.MSIL.LockScreen(Ikarus)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Tipo de malware
Trojan
Destructivo?
No
Cifrado
³§¨ª
In the Wild:
³§¨ª
Resumen y descripci¨®n
Se conecta a determinados sitios Web para enviar y recibir informaci¨®n.
Detalles t¨¦cnicos
±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô
Infiltra los archivos siguientes:
- {malware path}\filelist.txt - contains list of the original file name of the encrypted files
T¨¦cnica de inicio autom¨¢tico
Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
CLock = "{malware path and file name}"
Finalizaci¨®n del proceso
Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:
- regedit.exe
- tasmgr.exe
- procexp.exe
- msconfig.exe
- rstrui.exe
Robo de informaci¨®n
Recopila los siguientes datos:
- HWID
- Computer Name
- User Name
Otros detalles
Se conecta al sitio Web siguiente para enviar y recibir informaci¨®n:
- {BLOCKED}ect.no-ip.net
- {BLOCKED}irect.ddns.net
- www.{BLOCKED}zo.nl/modules/tmp/
- www.{BLOCKED}zo.nl/modules/tmp/tmp.dat
Cifra los archivos con las extensiones siguientes:
- .3fr
- .accdb
- .arw
- .bay
- .bmp
- .cdr
- .cer
- .cr2
- .crt
- .crw
- .dbf
- .dcr
- .der
- .dng
- .docm
- .docx
- .doc
- .dwg
- .dxf
- .dxg
- .eps
- .erf
- .exif
- .gif
- .indd
- .jfif
- .jpeg
- .jpg
- .kdc
- .mdb
- .mdf
- .mef
- .mp3
- .mrw
- .nef
- .nrw
- .odb
- .odc
- .odm
- .odp
- .ods
- .odt
- .orf
- .p12
- .p7b
- .p7c
- .pdd
- .pef
- .pem
- .pfx
- .png
- .pptm
- .pptx
- .ppt
- .pptx
- .psd
- .pst
- .ptx
- .r3d
- .raf
- .raw
- .rtf
- .rw2
- .rwl
- .sr2
- .srf
- .srw
- .txt
- .wb2
- .wpd
- .wps
- .x3f
- .xlk
- .xlsb
- .xls
- .xlsm
- .xlsx
Sustituye los nombres de los archivos cifrados por los nombres siguientes:
- {original file name and extension}._clf
Soluciones
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.
Step 3
Reiniciar en modo seguro
Step 4
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
?- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- CLock = "{malware path and file name}"
- CLock = "{malware path and file name}"
Step 5
Buscar y eliminar este archivo
- {malware path}\filelist.txt
Step 6
Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como TROJ_CRITOLOCK.A En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.
Rellene nuestra encuesta!