• Registrarse
  • Iniciar sesión


  • Resultados 1 al 3 de 3

    ALERTA: Ransom.FD (Criptovirus)

    Ransom.FD Gusano que cifra archivos del equipo infectado y se propaga a través del correo electrónico. Difusión: Baja Fecha de Alta:25-06-2009 Última Actualización:25-06-2009 Daño: Alto Dispersibilidad: Medio Nombre completo: [email protected] Tipo: [Worm] - Programa que ...

          
    1. #1
      Colaborador Avatar de Herrante
      Registrado
      jun 2008
      Ubicación
      España
      Mensajes
      5.290

      Malware ALERTA: Ransom.FD (Criptovirus)

      Ransom.FD


      Gusano que cifra archivos del equipo infectado y se propaga a través del correo electrónico.

      Difusión: Baja Fecha de Alta:25-06-2009
      Última Actualización:25-06-2009

      Daño: Alto

      Dispersibilidad: Medio

      Nombre completo: [email protected]

      Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
      Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
      Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
      Tamaño (bytes): 131072

      Alias:WORM_RANSOM.FD (Trend Micro)

      Método de Infección/Efectos

      Cuando se ejecuta se copia a sí mismo a las siguientes localizaciones del equipo infectado:

      * %System%\kkk.exe
      * %System%\recovery.exe

      Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
      Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

      También copia los siguientes ficheros:

      * %System%\RansomWar.txt

      Crea a continuación la siguiente entrada del registro de Windows para ejecutarse de nuevo con cada reinicio del sistema:

      Código:
      Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      
      Valor: Windows Recovery Console = "%System%\recovery.exe"
      Además crea la siguiente entrada del registro:

      Código:
      Clave: HKEY_CURRENT_USER\Identities\{0C0763B6-7496-4D73-AF61-F747E5CEBA0A}\
      Software\Microsoft\Outlook Express\5.0\Mail
      
      Valor: Warn on Mapi Send = "0"
      El gusano crea el siguiente mutex para asegurarse de que sólo una instancia de sí mismo se encuentra en ejecución:

      * RansomWar_EOF

      Nota: Un mutex es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas, aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo al mismo recurso. Esto previene la múltiple carga del gusano en memoria.

      Busca y codifica los archivos que encuentra en los dispositivos no extraíbles del sistema, salvo los que tienen alguna de las siguientes extensiones de archivo:

      * .dll
      * .drv
      * .exe
      * .ini
      * .rwg
      * .vxd

      Como resultado de la codificación los ficheros no se pueden leer. Después el gusano muestra el contenido del fichero %System%\RansomWar.txt que contiene el siguiente texto en inglés:

      Código:
      Dear user,
      
      some of your files have been encrypted using a quite strong system.
      
      Now you are scared but I will not ask you for money.
      
      If you want to get back your files you can do following:
      
      1) Contact a good antivirus-company that will decrypt them for you
      
      2) You can send an email to [email protected] requesting a decryptor program
      
      3) You can launch your PC trought the window or use a better OS (like linux) :)
      
      
      
      RansomWar by [WarGame,#eof]
      Después del proceso de cifrado, el gusano cambia el nombre de los ficheros codificados añadiendo la extensión .RWG, por ejemplo, si el nombre de fichero original es DOCUMENT.TXT, el nombre modificado por el gusano será DOCUMENT.TXT.RWG.

      El gusano utiliza la tecnología MAPI (Messaging Application Protocol Interface) para enviar correos electrónicos con una copia de sí mismo como adjunto. Los correos que envía tienen las siguientes características:

      * Direcciones a las que se envía: el gusano recoge direcciones de correo electrónico de los mensajes de correo electrónico de la cache, de la libreta de direcciones y de los buzones de correo.
      * Asunto: "You are a very lucky man, read this mail!"
      * Adjunto: BigCashForYou.exe
      * Cuerpo del mensaje: "Hi, you won a big amount of money!!! If you want to know more look at the attachment!"

      Nombres de Ficheros Adjuntos (virus que llegan por correo)

      * BigCashForYou.exe

      Asunto del mensaje (virus que llegan por correo)

      * You are a very lucky man, read this mail!

      FUENTE: Alerta-Antivirus.es: Detalles del virus Ransom.FD

      Pinchar en links sospechosos se puede pagar muy caro

      Suerte a todos
      Última edición por Herrante fecha: 25/06/09 a las 09:54:17
      Un autentico héroe es aquel que ayuda a los demás sin esperar nada a cambio


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de Th3 Princ3
      Registrado
      abr 2009
      Ubicación
      Venezuela
      Mensajes
      74

      Re: ALERTA: Ransom.FD (Criptovirus)

      o-o... Traduci con el google traductor (y cosas incoherentes, pero las edite aver si quedan mas coherentes):

      Usuario querido,
      algunos de sus archivos han sido cifrados usando un sistema bastante fuerte.

      Ahora se asusta, pero no le pediré dinero.

      Si usted quiere recuperar sus archivos usted puede hacer lo siguiente:

      1) Poner en contacto con una empresa de antivirus buena que los descifrará para usted
      2) Usted puede enviar un correo electrónico a [email protected] Y usted solicite un programa descryptor
      3) Usted puede lanzar su ordenador personal por la ventana o usar mejor OS (como linux):)


      RansomWar por [WarGame, *eof]

      uhm... este virus tampoco es tan agradable, Hace publicidad escrita
      Yo haria la parte 3 en linux =)
      Última edición por Th3 Princ3 fecha: 25/06/09 a las 18:14:17

    3. #3
      Usuario Avatar de klaken
      Registrado
      jun 2009
      Ubicación
      chile
      Mensajes
      791

      Re: ALERTA: Ransom.FD (Criptovirus)

      te parece agradable pues a mi no ..http://www.forospyware.com/images/smilies/frown.gif..


      talves diga uses linux pero la forma que lo ase no es la correcta . yo ocupo windows pero lo ocupo mas por que es mas compatibre con hadwer y juegos .... siertamente linux es un buen so pero no creo que sea la forma de promocionarlo....http://www.forospyware.com/images/smilies/http://www.forospyware.com/images/smilies/scared.gifscared.gif.

      talves no me pondria si sino me enojaria ya que uno tiene informacion inrenpasabre en un pc http://www.forospyware.com/images/smilies/enojado.gif, y esa es la peor parte de este virus.