c:\windows\system32\helpwin\svchost.exe
c:\windows\skorczybik.dll
%USERPROFILE%\escritorio\warning_readme_now.txt
%USERPROFILE%\mis documentos\warning_readme_now.txt

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

En Windows XP, %USERPROFILE% corresponde a la siguiente carpeta:

C:\Documents and Settings\[nombre de usuario]

IMPORTANTE: SVCHOST.EXE (Generic Host Process for Win32 Services), es un archivo legítimo de Windows XP y 2000, utilizado para la ejecución de servicios. La versión original se encuentra en la carpeta "System32" de Windows. En la lista de tareas puede aparecer varias veces, y ello es normal, ya que cada sesión corresponde a un servicio o grupos de servicios que necesitan instalarse de forma autónoma. El archivo que crea el troyano está en la carpeta HELPWIN de la carpeta del sistema (System32 o System).

Crea el enlace "sk0r-Czybik.url" en los favoritos del Internet Explorer, que apunta al siguiente sitio de Internet:

http: // www .sk0r-czybik .de .vu

Crea o modifica las siguientes entradas en el registro, la segunda para deshabilitar el Administrador de tareas, y la última para autoejecutarse en cada reinicio de Windows:

HKEY_CLASSES_ROOT\skorransom

HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "1"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "explorer.exe c:\windows\system32\helpwin\svchost.exe"

El archivo WARNING_README_NOW.TXT contiene el siguiente texto con las instrucciones para comprar el programa que supuestamente decodificará los archivos encriptados:

WARNING: FILE ENCRYPTION HAS BEEN FINISHED!
############################################

Dear User,
----------
Some Ascii Files have been encrypted with the sk0r alias Czybik's Ascii File Encryption Engine v1.0.
You are not longer able to use those files. But now nothing is lost. You are able to use your files again if you decrypt them. To do this you need to buy a decoder and the password.
So how can you buy this? The following stepps will show you what to do:

Decryption Notes:
=================

1) Simply write an email to: sk0r1337@gmx.de with subject:
Need Decoder and Password
2) Wait for an email from me.
3) Read the email and follow the stepps (you must give a payment to me to get the decoder and the password
4) Open the decoder.exe
5) Input File and Password and click decrypt --> Do this for all encrypted files

Pricelist:
==========

Decoder: Game Accounts in worth of about maximum 80
Password: Game or Internet Accounts (Websites) in worth of maximum 20

You see you can be lucky that the Decoder and the Password are so cheap.
Be lucky you are not a victim of other Ransomware, they are very expensive (400$)
So please follow the stepps. Otherwise you will not be able to use your files again.
Don 't send to avers. They will not be able to get or crack the password. So pay or say 'bye' to all your encrypted files.

Regards: sk0r / Czybik - Malwarewriter
2006 by sk0r / Czybik
Win32.Skowor Ransomware 2006 by sk0r / Czybik sk0r alias Czybik's
Ascii File Encryption Engine v1.0 2006 by sk0r / Czybik

El troyano intenta borrar las siguientes entradas de la clave HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run:

AVG7_CC
avgnt
BDMCon
BDNewsAgent
BDOESRV
DrWebScheduler
KAVPersonal50
MCAgentExe
MCUpdateExe
OASClnt
pccguide.exe
SpIDerMail
SpIDerNT
VirusScan Online
VSOCheckTask

Intenta encriptar archivos con las siguientes extensiones en sus nombres:

.asm
.asp
.aspx
.bat
.c
.cfg
.cgi
.cmd
.cpp
.cs
.css
.h
.hta
.htm
.html
.inf
.ini
.js
.jscript
.log
.php
.sql
.txt
.vbs
.wsf
.xml

Finaliza los procesos relacionados con los siguientes nombres, todos ellos correspondientes a conocidos antivirus y otras aplicaciones de seguridad:

agentsvr.exe
avcenter.exe
avcmd.exe
avesvc.exe
avgamsvr.exe
avgcc.exe
avgnt.exe
avgupsvc.exe
avscan.exe
bdlite.exe
bdmcon.exe
bdnagent.exe
bdoesrv.exe
bdss.exe
bdsubmit.exe
bdswitch.exe
drwadins.exe
DrWeb32w.exe
DrWebScd.exe
DrWebUpW.exe
kav.exe
kavsend.exe
kavsvc.exe
keymanager.exe
McAppIns.exe
Mcdetect.exe
McShield.exe
McTskshd.exe
mcupdui.exe
McVSEscn.exe
mcvsshld.exe
mghtml.exe
oasclnt.exe
pccguide.exe
PccPrm.exe
PcCtlCom.exe
preupd.exe
qttask.exe
rtvr.exe
spidernt.exe
Terminate
tmproxy.exe
update.exe
vsserv.exe
xcommsvr.exe

También finaliza aquellos procesos que contengan las siguientes cadenas en sus nombres:

av
clean
guar
mgr
resc
save
svr
syma

Intenta cambiar la contraseña del usuario administrador y la del usuario actual, por las siguientes:

SkorCzybik
CzybikSkor

Agrega las siguientes líneas al archivo HOSTS de Windows, para impedir que el usuario pueda ingresara los sitios que aquí se indican:

# Win32 .Skowor Ransomware Host H4x0r
127 .0 .0 .1 www .antivir .de
127 .0 .0 .1 www .bitdefender .de
127 .0 .0 .1 www .znet .de
127 .0 .0 .1 www .chip .de
127 .0 .0 .1 www .virustotal .com
127 .0 .0 .1 virusscan .jotti .org
127 .0 .0 .1 www .kaspersky .com
127 .0 .0 .1 www .sophos .de
127 .0 .0 .1 www .trojaner-info .de
127 .0 .0 .1 www .trojaner-help .de
127 .0 .0 .1 www .arcabit .com
127 .0 .0 .1 www .avast .com
127 .0 .0 .1 www .grisoft .com
127 .0 .0 .1 www .bitdefender .com
127 .0 .0 .1 www .clamav .net
127 .0 .0 .1 www .drweb .com
127 .0 .0 .1 www .f-prot .com
127 .0 .0 .1 www .google .de
127 .0 .0 .1 www .fortinet .com
127 .0 .0 .1 www .nod32 .com
127 .0 .0 .1 www .norman .com
127 .0 .0 .1 www .microsoft .com
127 .0 .0 .1 www .anti-virus .by/en
127 .0 .0 .1 www .symantec .com
127 .0 .0 .1 www .windowsupdate .com
127 .0 .0 .1 www .trendmicro .com
127 .0 .0 .1 www .mcafee .com
127 .0 .0 .1 www .viruslist .com
127 .0 .0 .1 www .avp .com
127 .0 .0 .1 www .zonelabs .com
127 .0 .0 .1 www .heise .de
127 .0 .0 .1 www .antivirus-online .de
127 .0 .0 .1 www .free-av .com
127 .0 .0 .1 www .panda-software .com
127 .0 .0 .1 www .pc-welt .de
127 .0 .0 .1 www .pc-special .net
127 .0 .0 .1 download .freenet .de
127 .0 .0 .1 www .vollversion .de
127 .0 .0 .1 www .das-download-archiv .de
127 .0 .0 .1 www .freeware .de
127 .0 .0 .1 www .antiviruslab .com
127 .0 .0 .1 www .search .yahoo .com
127 .0 .0 .1 www .web .de
127 .0 .0 .1 www .hotmail .com
127 .0 .0 .1 www .hotmail .de
127 .0 .0 .1 www .gmx .net
127 .0 .0 .1 www .spiegel .de
127 .0 .0 .1 www .icq .com
127 .0 .0 .1 www .icq .de
127 .0 .0 .1 www .flirtlife .de
127 .0 .0 .1 www .ffh .de
127 .0 .0 .1 www .lavasoft .de
127 .0 .0 .1 www .de .wikipedia .org
127 .0 .0 .1 www .wikipedia .org
127 .0 .0 .1 www .en .wikipedia .org
127 .0 .0 .1 www .wissen .de
127 .0 .0 .1 www .virus-aktuell .de
127 .0 .0 .1 www .arcor .de
127 .0 .0 .1 www .t-online .de
127 .0 .0 .1 www .t-com .de
127 .0 .0 .1 www .alice-dsl .de
127 .0 .0 .1 www .freenet .de
127 .0 .0 .1 www .1und1 .de
127 .0 .0 .1 www .fbi .gov
127 .0 .0 .1 www .polizei .de

El troyano también intenta formatear los discos duros, si se cumplen ciertas condiciones.


Reparación manual

NOTA: Tenga en cuenta que los archivos encriptados por el troyano, deberán ser recuperados de un respaldo anterior limpio.


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.

4. Borre todos los archivos detectados como infectados.


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus".

Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\skorransom

3. Borre la carpeta "skorransom".

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Policies
\System

5. Haga clic en la carpeta "System" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

DisableTaskmgr = "1"

6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon

7. Haga clic en la carpeta "Winlogon" y en el panel de la derecha, busque la siguiente entrada bajo la columna "Nombre":

Shell

8. Modifique el valor de "Shell" para que aparezca solo esto:

Shell = Explorer.exe

9. Cierre el editor del registro.

10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Restaurar archivo HOSTS

1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:

c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\

2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".

3. Borre todas las líneas que comiencen con un número, salvo las siguientes:

127.0.0.1   localhost

4. Acepte guardar los cambios al salir del bloc de notas.

5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información.

6. Reinicie su computadora.


Borrar archivos temporales

1. Cierre todas las ventanas y todos los programas abiertos.

2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.

Nota: debe escribir también los signos "%" antes y después de "temp".

3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").

4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.

5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm


Borrar Archivos temporales de Internet

1. Vaya al Panel de control, Opciones de Internet, General

2. En Archivos temporales de Internet Haga clic en "Eliminar archivos"

3. Marque la opción "Eliminar todo el contenido sin conexión"

4. Haga clic en Aceptar, etc.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com