|
VSantivirus No. 2130 Año 10, martes 9 de mayo de 2006
Arhiveus.A. "Secuestra" archivos de Mis documentos
http://www.vsantivirus.com/arhiveus-a.htm
Nombre: Win32/Arhiveus.A
Nombre NOD32: Win32/Arhiveus.A
Tipo: Caballo de Troya
Alias: Arhiveus.A, Arhiveus, TROJ_ARHIVEUS.A, Trojan.Archiveus, Win32/Arhiveus.A
Fecha: 8/may/06
Plataforma: Windows 32-bit
Tamaño: 49,152 bytes
Este tipo de troyanos, entra en la categoría de los "RansomWare", malwares que "secuestran" un archivo y luego piden al usuario un pago como rescate para liberarlos. También son conocidos como "criptovirus".
El troyano crea un archivo encriptado con todos los archivos existentes en "Mis documentos", y luego borra los archivos originales.
La clave que utiliza como contraseña, siempre es la misma:
mf2lro8sw03ufvnsq034jfowr18f3cszc20vmw
Los siguientes archivos son creados en la carpeta "Mis documentos":
\Mis documentos\demo.als
\Mis documentos\EncryptedFiles.als
\Mis documentos\INSTRUCTIONS HOW TO GET YOUR FILES BACK.txt
DEMO.ALS es una demostración de la rutina de extracción del troyano.
ENCRYPTEDFILES.ALS contiene la imagen comprimida de todos los archivos existentes dentro de "Mis documentos", e "INSTRUCTIONS HOW TO GET YOUR FILES BACK.txt" contiene el siguiente texto con las instrucciones para recuperar los archivos secuestrados:
INSTRUCTIONS HOW TO GET YOUR FILES BACK
READ CAREFULLY. IF YOU DO NOT UNDERSTAND - READ AGAIN.
This is the automated report generated by auto archiving
software.
Your computer caught our software while browsing illegal
porn pages, all your documents, text files, databases in
the folder My Documents was archived with long password.
You can not guess the password for your archived files -
password length is more than 30 symbols that makes all
password recovery programs fail to bruteforce it (guess
password by trying all possible combinations).
Do not try to search for a program that encrypted your
information - it simply does not exist in your hard disk
anymore. Reporting to police about a case will not help
you, they do not know the password. Reporting somewhere
about our email account will not help you to restore
files. Moreover, you and other people will lose contact
with us, and consequently, all the encrypted information.
WE DO NOT ASK YOU FOR ANY MONEY! We only want to do
business with you. You can even EARN extra money with us.
If you really care about the documents and information in
encrypted file, you should follow the instructions below.
This is your only way to get your files back and save your
time.
------------------------------
How to get your information back.
1. Follow any link below
http: // Supervices.info/?833F866fe62adAd883cc38bcd6b0Tdaa
http: // Visiooducts.info/?82Fdf3abfb7Abc9385ed1c26afT6bb6e
http: // AlterlthWorld.info/?12aba12eF79ef8A4bf7f9bd49Tfc6690
and enter our online pharmacy. Our online pharmacy is the
world leader in FDA approved medications.
2. Choose any product you like and buy it.
3. Send an email with your order id to our email address
restoring@safe-mail.net or restoringfiles@yahoo.com
The password will be sent to your email address as soon as
we verify your order id (usually 3-4 hours or shorter) and
you will get your information in encrypted file back. All
the emails with invalid order ids will be ignored.
------------------------------
We do not ask you for any money! We guarantee that you
will receive the product you buy! You can use it by
yourself or even sell and earn extra money because
all the products in our online pharmacy are discounted!
We guarantee that you will receive the password for
encrypted file as soon as you buy any product in our
online pharmacy.
We guarantee that you will be able to restore all the
encrypted information and we can prove it. Doubleclick on
the file Demo.als and enter the following password:
kw9fjwfielaifuw1u3fw3brue2180w3hfse2
The encrypted information will be restored in several
seconds.
The file EncryptedFiles.als is encrypted with another
password which you will receive in the email from us.
We guarantee that you will never be asked to buy anything
in our online pharmacy again.
We do not want to do you any harm, we do not ask you for
money, we only want to do business with you.
#######################################
Remember you are just three steps away from your files
#######################################
También crea las siguientes entradas en el registro, a los efectos que cada vez que el usuario intente abrir archivos con extensión .ALS, el troyano despliegue una serie de ventanas:
HKCR\ALS
HKLM\SOFTWARE\Classes\ALS
La primera ventana que se abre cuando el
usuario hace clic sobre un archivo .ALS muestra el siguiente texto:
myarhive
Read INSTRUCTIONS to get your files back
[ OK ]
Luego se abre otra, mostrando la lista de los archivos secuestrados y su tamaño, con un botón para extraerlos:
[ Extract ]
Cuando el usuario pulsa en el botón [ Extract ], una contraseña le será requerida:
myharhive
Please entire password:
[ OK ]
[ Cancel ]
La contraseña para los archivos dentro de ENCRYPTEDFILES.ALS es la siguiente:
mf2lro8sw03ufvnsq034jfowr18f3cszc20vmw
El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.
Otros malwares también podrían descargarlo y ejecutarlo en un sistema infectado.
Uno de los nombres conque puede presentarse, es el siguiente:
00xstemp.exe
Reparación manual
IMPORTANTE:
Para recuperar los archivos secuestrados antes de eliminar el troyano, abra el archivo ENCRYPTEDFILES.ALS en "Mis documentos", pulse en el botón [ Extract ] e ingrese la siguiente clave cuando le sea solicitada:
mf2lro8sw03ufvnsq034jfowr18f3cszc20vmw
Luego, proceda con los siguientes pasos.
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
4. Borre todos los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los siguientes archivos dentro de "Mis documentos":
demo.als
EncryptedFiles.als
INSTRUCTIONS HOW TO GET YOUR FILES BACK.txt
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\ALS
3. Haga clic en la carpeta "ALS" y bórrela.
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Classes
\ALS
5. Haga clic en la carpeta "ALS" y bórrela.
6. Cierre el editor del registro.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de "temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|