RANSOM_WCRY.C
Windows
Threat Type:
Ransomware
Destructiveness:
No
Encrypted:
Yes
In the wild::
Yes
OVERVIEW
Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos env¨ªan como spam.
TECHNICAL DETAILS
Detalles de entrada
Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos env¨ªan como spam.
±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô
Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):
- {location of malware}\00000000.pky
- {location of malware}\00000000.eky
- {location of malware}\00000000.res
- {location of malware}\!Please Read Me!.txt ¡û ransomnote
- {location of malware}\{random numbers}.bat ¡û creates shortcut
- {location of malware}\!WannaDecryptor!.exe.lnk
- {location of malware}\TaskHost\Tor\taskhosts.exe ¡û copy of tor.exe
- {location of malware}\t.wry ¡û encrypted component
- {location of malware}\c.wry ¡û contains email, bitcoin address, onion server, & urls
- {location of malware}\r.wry ¡û ransomnote
- {location of malware}\m.wry ¡û rtf file containing ransom instructions
- {location of malware}\f.wry ¡û encrypted files
- {location of malware}\b.wry ¡û bmp file used for desktop
- {location of malware}\u.wry ¡û tool detected as RANSOM_WCRY.C
- {location of malware}\!WannaDecryptor!.exe ¡û tool also detected as RANSOM_WCRY.C
- {location of malware}\!WannaDecryptor!.bmp ¡û ransom wallpaper
Agrega los procesos siguientes:
- taskhosts.exe
Crea las carpetas siguientes:
- {location of malware}\TaskHost
T¨¦cnica de inicio autom¨¢tico
Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft Task Scheduler = "{location of malware}\{malware filename}.exe" /r 0
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalaci¨®n:
HKLM\SOFTWARE\WannaCryptor
HKCU\SOFTWARE\WannaCryptor
Cambia el fondo de escritorio mediante la modificaci¨®n de las siguientes entradas de registro:
HKCU\Control Panel\Desktop
Wallpaper = "{location of malware}\!WannaDecryptor!.bmp"
Este malware establece la imagen siguiente como fondo de escritorio del sistema:
Rutina de descarga
Accede a los siguientes sitios Web para descargar archivos:
- https://dist.{BLOCKED}ject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip
- https://www.dropbox.com/s/{BLOCKED}erh1ks/m.rar?dl=1 - hosts - !WannaDecryptor!.exe, detected as RANSOM_WCRY.C
- https://www.dropbox.com/s/{BLOCKED}zazlyy94/t.zip?dl=1 - hosts Tor archive
Otros detalles
Cifra los archivos con las extensiones siguientes:
- .123
- .3dm
- .3ds
- .3g2
- .3gp
- .602
- .7z
- .aes
- .ai
- .ARC
- .asc
- .asf
- .asp
- .avi
- .backup
- .bak
- .bmp
- .brd
- .bz2
- .c
- .cgm
- .class
- .cpp
- .crt
- .cs
- .csr
- .csv
- .db
- .dbf
- .dch
- .dif
- .dip
- .doc
- .docb
- .docm
- .docx
- .dot
- .dotm
- .dotx
- .dwg
- .edb
- .eml
- .fla
- .flv
- .frm
- .gif
- .gpg
- .gz
- .h
- .hwp
- .ibd
- .jar
- .java
- .jpeg
- .jpg
- .js
- .jsp
- .key
- .lay
- .lay6
- .ldf
- .m3u
- .m4u
- .max
- .mdb
- .mdf
- .mid
- .mkv
- .mml
- .mov
- .mp3
- .mp4
- .mpeg
- .mpg
- .msg
- .myd
- .myi
- .nef
- .odb
- .odg
- .odp
- .ods
- .odt
- .ost
- .otg
- .otp
- .ots
- .ott
- .p12
- .PAQ
- .pas
- .pem
- .php
- .pl
- .png
- .pot
- .potm
- .potx
- .ppam
- .pps
- .ppsm
- .ppsx
- .ppt
- .pptm
- .pptx
- .psd
- .pst
- .rar
- .raw
- .rb
- .rtf
- .sch
- .sh
- .slk
- .sln
- .sql
- .sqlite3
- .sqlitedb
- .stc
- .std
- .stw
- .suo
- .swf
- .sxc
- .sxd
- .sxm
- .sxw
- .tar
- .tar
- .tbk
- .tgz
- .tif
- .tiff
- .txt
- .uop
- .uot
- .vb
- .vdi
- .vmdk
- .vmx
- .vob
- .vsd
- .vsdx
- .wav
- .wb2
- .wk1
- .wks
- .wma
- .wmv
- .xlc
- .xlm
- .xls
- .xlsb
- .xlsm
- .xlsx
- .xlt
- .xltm
- .xltx
- .xlw
- .zip
Sustituye los nombres de los archivos cifrados por los nombres siguientes:
- {original filename and extension}.WCRY
SOLUTION
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.
Step 3
Reiniciar en modo seguro
Step 4
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
?- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- Microsoft Task Scheduler = "{location of malware}\{malware filename}.exe" /r 0
- Microsoft Task Scheduler = "{location of malware}\{malware filename}.exe" /r 0
Step 5
Eliminar esta clave del Registro
Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
?- In HKEY_LOCAL_MACHINE\SOFTWARE
- WannaCryptor = ""
- WannaCryptor = ""
- In HKEY_CURRENT_USER\SOFTWARE
- WannaCryptor = ""
- WannaCryptor = ""
Step 6
Buscar y eliminar estas carpetas
- {location of malware}\TaskHost
Step 7
Buscar y eliminar estos archivos
- {location of malware}\00000000.pky
- {location of malware}\00000000.eky
- {location of malware}\00000000.res
- {location of malware}\!Please Read Me!.txt
- {location of malware}\{random numbers}.bat
- {location of malware}\!WannaDecryptor!.exe.lnk
- {location of malware}\TaskHost\Tor\taskhosts.exe
- {location of malware}\t.wry
- {location of malware}\c.wry
- {location of malware}\r.wry
- {location of malware}\m.wry
- {location of malware}\f.wry
- {location of malware}\b.wry
- {location of malware}\!WannaDecryptor!.bmp
- {location of malware}\00000000.pky
- {location of malware}\00000000.eky
- {location of malware}\00000000.res
- {location of malware}\!Please Read Me!.txt
- {location of malware}\{random numbers}.bat
- {location of malware}\!WannaDecryptor!.exe.lnk
- {location of malware}\TaskHost\Tor\taskhosts.exe
- {location of malware}\t.wry
- {location of malware}\c.wry
- {location of malware}\r.wry
- {location of malware}\m.wry
- {location of malware}\f.wry
- {location of malware}\b.wry
- {location of malware}\!WannaDecryptor!.bmp
Step 8
Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como RANSOM_WCRY.C En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.
Step 9
Restablecer las propiedades del escritorio
Did this description help? Tell us how we did.