De vez en cuando te encuentras con un malware realmente extraño y tal es el caso con un nuevo ransomware que solo encripta archivos .EXE en una computadora
Cuando se ejecuta, este ransomware terminará varios procesos asociados con software antivirus como Kaspersky, McAfee y Rising Antivirus. Los comandos ejecutados para matar los procesos son:
- taskkill /f /im kavsvc.exe
- taskkill /f /im KVXP.kxp
- taskkill /f /im Rav.exe
- taskkill /f /im Ravmon.exe
- taskkill /f /im Mcshield.exe
- taskkill /f /im VsTskMgr.exe
Luego escaneará la computadora en busca de archivos .exe y los encriptará. Al encriptar archivos, apuntará a todos los archivos .EXE, incluso aquellos que se encuentran debajo de la carpeta de Windows.
Otro ransomware en el pasado que los ejecutables cifrados generalmente evitan la carpeta de Windows para que no cause problemas con la correcta ejecución del sistema operativo.
Como parte del proceso de encriptación, este ransomware también modificará las claves del Registro asociadas con los archivos .exe para que usen un nuevo icono y ejecuten el virus cada vez que alguien lance un ejecutable. Las claves modificadas se enumeran a continuación.
- HKLM\SOFTWARE\Classes\exe
- HKLM\SOFTWARE\Classes\exe\
- HKLM\SOFTWARE\Classes\exe\EditFlags 2
- HKLM\SOFTWARE\Classes\exe\DefaultIcon
- HKLM\SOFTWARE\Classes\exe\DefaultIcon\C:\Users\User\codexgigas_.exe,0
- HKLM\SOFTWARE\Classes\exe\Shell
- HKLM\SOFTWARE\Classes\exe\Shell\Open
- HKLM\SOFTWARE\Classes\exe\Shell\Open\Command
- HKLM\SOFTWARE\Classes\exe\Shell\Open\Command\"C:\Users\User\codexgigas_.exe" "%1"
El mensaje en la interfaz de ransomware establece que los usuarios deben contactar al atacante al 2200287831@qq.com para obtener instrucciones de pago.
Hello, your computer is encrypted by me! Yeah, that means your EXE file isn't open! Because I encrypted it.
So you can decrypt it, but you have to tip it. This is a big thing. You can email this email: 2200287831@qq.com gets more information.
No se sabe cómo se distribuye este ransomware o si el desarrollador incluso proporcionará una clave de descifrado si se paga.
Obama no es el único presidente que ha creado un ransomware después de él. Antes de las elecciones presidenciales de 2016, se lanzó The Donald Trump Ransomware.
Fecha actualización el 2021-09-03. Fecha publicación el 2018-09-03. Categoría: ransomware. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer