TROJ_CRYPCTB.UKL
Windows
Tipo de malware
Trojan
Destructivo?
No
Cifrado
In the Wild:
³§¨ª
Resumen y descripci¨®n
Se conecta a determinados sitios Web para enviar y recibir informaci¨®n.
Detalles t¨¦cnicos
±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô
Infiltra los archivos siguientes:
- %Windows%\Tasks\{random filename2}.job
- %User Profile%\My Documents\!Decrypt-All-Files-{random 7 characters 1}.txt
- %User Profile%\My Documents\!Decrypt-All-Files-{random 7 characters 1}.bmp
- %All Users Profile%\Application Data\{randomly selected path}\{random filename3} - for Windows XP and below.
- %AppDataLocal%\{randomly selected path}\{random filename3} - for Windows 7 and above.
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).)Crea las siguientes copias de s¨ª mismo en el sistema afectado:
- %User Temp%\{random filename1}.exe
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
)Este malware inyecta c¨®digos en el/los siguiente(s) proceso(s):
- svchost.exe
- explorer.exe
T¨¦cnica de inicio autom¨¢tico
La tarea programada ejecuta el malware con cada:
- system startup
Otras modificaciones del sistema
Modifica las siguientes entradas de registro:
HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = "0"
(Note: The default value data of the said registry entry is {User Preference}.)
HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = "0"
(Note: The default value data of the said registry entry is {User Preference}.)
HKEY_CURRENT_USER\Control Panel\Desktop
WallPaper = "%User Profile%\My Documents\!Decrypt-All-Files-{random 7 characters 1}.bmp"
(Note: The default value data of the said registry entry is {User Preference}.)
Otros detalles
Se conecta al sitio Web siguiente para enviar y recibir informaci¨®n:
- http://{BLOCKED}sp3sjyg.tor2web.fi
- http://{BLOCKED}sp3sjyg.tor2web.blutmagie.de
- http://{BLOCKED}sp3sjyg.onion.cab
- http://{BLOCKED}sp3sjyg.onion.gq
Cifra los archivos con las extensiones siguientes:
- 3fr
- 7z
- abu
- accdb
- ai
- arp
- arw
- bas
- bay
- bdcr
- bdcu
- bdd
- bdp
- bds
- blend
- bpdr
- bpdu
- bsdr
- bsdu
- c
- cdr
- cer
- config
- cpp
- cr2
- crt
- crw
- cs
- dbf
- dbx
- dcr
- dd
- dds
- der
- dng
- doc
- docm
- docx
- dwg
- dxf
- dxg
- eps
- erf
- fdb
- gdb
- groups
- gsd
- gsf
- ims
- indd
- iss
- jpe
- jpeg
- jpg
- js
- kdc
- kwm
- md
- mdb
- mdf
- mef
- mrw
- nef
- nrw
- odb
- odm
- odp
- ods
- odt
- orf
- p12
- p7b
- p7c
- pas
- pdd
- pef
- pem
- pfx
- php
- pl
- ppt
- pptm
- pptx
- psd
- pst
- ptx
- pwm
- py
- r3d
- raf
- rar
- raw
- rgx
- rik
- rtf
- rw2
- rwl
- safe
- sql
- srf
- srw
- txt
- vsd
- wb2
- wpd
- wps
- xlk
- xls
- xlsb
- xlsm
- xlsx
- zip
Soluciones
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.
Step 3
Reiniciar en modo seguro
Step 4
Restaurar este valor del Registro modificado
Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
?- In HKEY_CURRENT_USER\Control Panel\Desktop
- From: TileWallpaper = "0"
To: TileWallpaper = "{User Preference}"
- From: TileWallpaper = "0"
- In HKEY_CURRENT_USER\Control Panel\Desktop
- From: WallpaperStyle = "0"
To: WallpaperStyle = "{User Preference}"
- From: WallpaperStyle = "0"
- In HKEY_CURRENT_USER\Control Panel\Desktop
- From: WallPaper = "%User Profile%\My Documents\!Decrypt-All-Files-{random 7 characters}.bmp"
To: WallPaper = "{User Preference}"
- From: WallPaper = "%User Profile%\My Documents\!Decrypt-All-Files-{random 7 characters}.bmp"
Step 5
- Haga clic en Inicio>Programas>Accesorios>Herramientas del sistema>Administrador de tareas
- Haga doble clic en un archivo de tarea.
- Compruebe si la ruta y el nombre del malware est¨¢n en la casilla Ejecutar: .
- Si es as¨ª, elimine el archivo de la tarea.
- Repita los pasos 2 a 4 para las tareas restantes.
Step 6
Buscar y eliminar estos archivos
- !Decrypt-All-Files-{random 7 characters 1}.txt
- !Decrypt-All-Files-{random 7 characters 1}.bmp
- !Decrypt-All-Files-{random 7 characters 1}.txt
- !Decrypt-All-Files-{random 7 characters 1}.bmp
Step 7
Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como TROJ_CRYPCTB.UKL En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.
Rellene nuestra encuesta!