Skowor.NJ. Encripta archivos y pide rescate por ellos

en Ultimas Amenazas de virus y sus variantes
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Seguridad, Spyware y Phishing : Ultimas Amenazas de virus y sus variantes
Ultimas Amenazas de virus y sus variantes Ultimas Amenazas de virus y sus variantes Conozca sobre las ultimas amenazas de virus, troyanos y gusanos a la seguridad de los sistemas operativos y programas del mundo informatico.

Skowor.NJ. Encripta archivos y pide rescate por ellos

Compartir

Nombre: Skowor.NJ
Nombre NOD32: Win32/Skowor.NJ
Tipo: Caballo de Troya
Alias: Skowor.NJ, Trj/Skowor.A, TROJ_SKOWR.A, Trojan.Skor, Trojan.Skowr, Trojan.VB.ap, Virus.Win32.VB.ap, W32/Ransom.B, W32/Skowr.A, W32/SKOWR.A!tr, Win32.Skowr.A, Win32/Skowor.NJ
Fecha: 12/jun/06
Tamaño: 69,632 bytes

Caballo de Troya que encripta archivos del equipo infectado, dejándolos inaccesibles para el usuario. Luego pide un rescate para recuperarlos.

También compromete la seguridad del sistema y lo deja vulnerable al ataque de otros malwares, al deshabilitar procesos, modificar el archivo HOSTS, y deshabilitar el Administrador de tareas de Windows.

Cuando se ejecuta, puede crear los siguientes archivos:
c:\windows\system32\helpwin\svchost.exe
c:\windows\skorczybik.dll
%USERPROFILE%\escritorio\warning_readme_now.txt
%USERPROFILE%\mis documentos\warning_readme_now.txt

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

En Windows XP, %USERPROFILE% corresponde a la siguiente carpeta:

C:\Documents and Settings\[nombre de usuario]

IMPORTANTE: SVCHOST.EXE (Generic Host Process for Win32 Services), es un archivo legítimo de Windows XP y 2000, utilizado para la ejecución de servicios. La versión original se encuentra en la carpeta "System32" de Windows. En la lista de tareas puede aparecer varias veces, y ello es normal, ya que cada sesión corresponde a un servicio o grupos de servicios que necesitan instalarse de forma autónoma. El archivo que crea el troyano está en la carpeta HELPWIN de la carpeta del sistema (System32 o System).

Crea el enlace "sk0r-Czybik.url" en los favoritos del Internet Explorer, que apunta al siguiente sitio de Internet:

http: // www .sk0r-czybik .de .vu

Crea o modifica las siguientes entradas en el registro, la segunda para deshabilitar el Administrador de tareas, y la última para autoejecutarse en cada reinicio de Windows:

HKEY_CLASSES_ROOT\skorransom

HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "1"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "explorer.exe c:\windows\system32\helpwin\svchost.exe"

El archivo WARNING_README_NOW.TXT contiene el siguiente texto con las instrucciones para comprar el programa que supuestamente decodificará los archivos encriptados:

WARNING: FILE ENCRYPTION HAS BEEN FINISHED!
############################################

Dear User,
----------
Some Ascii Files have been encrypted with the sk0r alias Czybik's Ascii File Encryption Engine v1.0.
You are not longer able to use those files. But now nothing is lost. You are able to use your files again if you decrypt them. To do this you need to buy a decoder and the password.
So how can you buy this? The following stepps will show you what to do:

Decryption Notes:
=================

1) Simply write an email to: [email protected] with subject:
Need Decoder and Password
2) Wait for an email from me.
3) Read the email and follow the stepps (you must give a payment to me to get the decoder and the password
4) Open the decoder.exe
5) Input File and Password and click decrypt --> Do this for all encrypted files

Pricelist:
==========

Decoder: Game Accounts in worth of about maximum 80
Password: Game or Internet Accounts (Websites) in worth of maximum 20

You see you can be lucky that the Decoder and the Password are so cheap.
Be lucky you are not a victim of other Ransomware, they are very expensive (400$)
So please follow the stepps. Otherwise you will not be able to use your files again.
Don 't send to avers. They will not be able to get or crack the password. So pay or say 'bye' to all your encrypted files.

Regards: sk0r / Czybik - Malwarewriter
2006 by sk0r / Czybik
Win32.Skowor Ransomware 2006 by sk0r / Czybik sk0r alias Czybik's
Ascii File Encryption Engine v1.0 2006 by sk0r / Czybik

El troyano intenta borrar las siguientes entradas de la clave HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run:

AVG7_CC
avgnt
BDMCon
BDNewsAgent
BDOESRV
DrWebScheduler
KAVPersonal50
MCAgentExe
MCUpdateExe
OASClnt
pccguide.exe
SpIDerMail
SpIDerNT
VirusScan Online
VSOCheckTask

Intenta encriptar archivos con las siguientes extensiones en sus nombres:

.asm
.asp
.aspx
.bat
.c
.cfg
.cgi
.cmd
.cpp
.cs
.css
.h
.hta
.htm
.html
.inf
.ini
.js
.jscript
.log
.php
.sql
.txt
.vbs
.wsf
.xml

Finaliza los procesos relacionados con los siguientes nombres, todos ellos correspondientes a conocidos antivirus y otras aplicaciones de seguridad:

agentsvr.exe
avcenter.exe
avcmd.exe
avesvc.exe
avgamsvr.exe
avgcc.exe
avgnt.exe
avgupsvc.exe
avscan.exe
bdlite.exe
bdmcon.exe
bdnagent.exe
bdoesrv.exe
bdss.exe
bdsubmit.exe
bdswitch.exe
drwadins.exe
DrWeb32w.exe
DrWebScd.exe
DrWebUpW.exe
kav.exe
kavsend.exe
kavsvc.exe
keymanager.exe
McAppIns.exe
Mcdetect.exe
McShield.exe
McTskshd.exe
mcupdui.exe
McVSEscn.exe
mcvsshld.exe
mghtml.exe
oasclnt.exe
pccguide.exe
PccPrm.exe
PcCtlCom.exe
preupd.exe
qttask.exe
rtvr.exe
spidernt.exe
Terminate
tmproxy.exe
update.exe
vsserv.exe
xcommsvr.exe

También finaliza aquellos procesos que contengan las siguientes cadenas en sus nombres:

av
clean
guar
mgr
resc
save
svr
syma

Intenta cambiar la contraseña del usuario administrador y la del usuario actual, por las siguientes:

SkorCzybik
CzybikSkor

Agrega las siguientes líneas al archivo HOSTS de Windows, para impedir que el usuario pueda ingresara los sitios que aquí se indican:

# Win32 .Skowor Ransomware Host H4x0r
127 .0 .0 .1 www .antivir .de
127 .0 .0 .1 www .bitdefender .de
127 .0 .0 .1 www .znet .de
127 .0 .0 .1 www .chip .de
127 .0 .0 .1 www .virustotal .com
127 .0 .0 .1 virusscan .jotti .org
127 .0 .0 .1 www .kaspersky .com
127 .0 .0 .1 www .sophos .de
127 .0 .0 .1 www .trojaner-info .de
127 .0 .0 .1 www .trojaner-help .de
127 .0 .0 .1 www .arcabit .com
127 .0 .0 .1 www .avast .com
127 .0 .0 .1 www .grisoft .com
127 .0 .0 .1 www .bitdefender .com
127 .0 .0 .1 www .clamav .net
127 .0 .0 .1 www .drweb .com
127 .0 .0 .1 www .f-prot .com
127 .0 .0 .1 www .google .de
127 .0 .0 .1 www .fortinet .com
127 .0 .0 .1 www .nod32 .com
127 .0 .0 .1 www .norman .com
127 .0 .0 .1 www .microsoft .com
127 .0 .0 .1 www .anti-virus .by/en
127 .0 .0 .1 www .symantec .com
127 .0 .0 .1 www .windowsupdate .com
127 .0 .0 .1 www .trendmicro .com
127 .0 .0 .1 www .mcafee .com
127 .0 .0 .1 www .viruslist .com
127 .0 .0 .1 www .avp .com
127 .0 .0 .1 www .zonelabs .com
127 .0 .0 .1 www .heise .de
127 .0 .0 .1 www .antivirus-online .de
127 .0 .0 .1 www .free-av .com
127 .0 .0 .1 www .panda-software .com
127 .0 .0 .1 www .pc-welt .de
127 .0 .0 .1 www .pc-special .net
127 .0 .0 .1 download .freenet .de
127 .0 .0 .1 www .vollversion .de
127 .0 .0 .1 www .das-download-archiv .de
127 .0 .0 .1 www .freeware .de
127 .0 .0 .1 www .antiviruslab .com
127 .0 .0 .1 www .search .yahoo .com
127 .0 .0 .1 www .web .de
127 .0 .0 .1 www .hotmail .com
127 .0 .0 .1 www .hotmail .de
127 .0 .0 .1 www .gmx .net
127 .0 .0 .1 www .spiegel .de
127 .0 .0 .1 www .icq .com
127 .0 .0 .1 www .icq .de
127 .0 .0 .1 www .flirtlife .de
127 .0 .0 .1 www .ffh .de
127 .0 .0 .1 www .lavasoft .de
127 .0 .0 .1 www .de .wikipedia .org
127 .0 .0 .1 www .wikipedia .org
127 .0 .0 .1 www .en .wikipedia .org
127 .0 .0 .1 www .wissen .de
127 .0 .0 .1 www .virus-aktuell .de
127 .0 .0 .1 www .arcor .de
127 .0 .0 .1 www .t-online .de
127 .0 .0 .1 www .t-com .de
127 .0 .0 .1 www .alice-dsl .de
127 .0 .0 .1 www .freenet .de
127 .0 .0 .1 www .1und1 .de
127 .0 .0 .1 www .fbi .gov
127 .0 .0 .1 www .polizei .de

El troyano también intenta formatear los discos duros, si se cumplen ciertas condiciones.

---------------------------------------------------------------------------------------------------
REPARACION MANUAL

NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
---------------------------------------------------------------------------------------------------
Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los archivos detectados por el Antivirus.
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro de Windows

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\skorransom

3. Borre la carpeta "skorransom".

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Policies
\System

5. Haga clic en la carpeta "System" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

DisableTaskmgr = "1"

6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon

7. Haga clic en la carpeta "Winlogon" y en el panel de la derecha, busque la siguiente entrada bajo la columna "Nombre":

Shell

8. Modifique el valor de "Shell" para que aparezca solo esto:

Shell = Explorer.exe

9. Cierre el editor del registro.

10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Fuente: VSANTIVIRUS
[hr]


Archivo HOSTS | Antivirus NOD32 | Agnitum Outpost Firewall
Compartir
  #1  
Creado: 23-Jun-2006, a las 22:16 Vistas: 716
Categoria: Ultimas Amenazas de virus y sus variantes
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
archivos, encripta, pide, rescate


Temas Similares
» LG pide la retirada de PS3 de los comercios de EE.UU. 0
» Cinco nuevos lenguajes en Google Translate, entre ellos el Euskera 0
Drama y Accion » Pelicula The Taking of Pelham 123 / Rescate del Metro 123 [Excelente Calidad][Rmvb][Sub Es 0
» El CEO de Palm cree que pueden sobrevivir por ellos mismos 0
» ganar $dolares i hacer lo que kieras con ellos!!!! 0
» Gpcode.NAA. Encripta e inutiliza múltiples archivos 0
» Un virus secuestra documentos a cambio de rescate 0
» Cryzip.A. Pide rescate para recuperar archivos 0
» Juny.B. Encripta archivos del equipo infectado 0
» Crear un disco de rescate de password en Windows XP 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 03:07.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4