DETENER ransomware

DETENER ransomware Descripción

Tipo: Ransomware

DETENER Ransomware Captura de pantalla Los investigadores de seguridad de PC recibieron informes de ataques de ransomware que implican una amenaza conocida como STOP Ransomware el 21 de febrero de 2018. STOP Ransomware se basa en una plataforma de ransomware de código abierto y lleva a cabo una versión típica de un ataque de ransomware de cifrado. STOP Ransomware se distribuye mediante mensajes de correo electrónico no deseado que contienen archivos adjuntos dañados. Estos archivos adjuntos toman la forma de archivos DOCX con scripts de macros incrustados que descargan e instalan STOP Ransomware en la computadora de la víctima. Aprender a reconocer los correos electrónicos de phishing y evitar descargar archivos adjuntos no solicitados es una de las formas de evitar estos ataques.

Cómo reconocer una infección STOP Ransomware

Una vez que STOP Ransomware se instala en la computadora de la víctima, STOP Ransomware buscará en las unidades de la víctima una amplia variedad de tipos de archivos, generalmente buscando archivos generados por el usuario, como imágenes, archivos multimedia y muchos otros tipos de documentos. STOP Ransomware también parece estar diseñado para apuntar a servidores web, ya que busca archivos de base de datos y tipos de archivos similares que generalmente se encuentran en estas máquinas de forma explícita. Los tipos de archivos que STOP Ransomware buscará y apuntará en su ataque incluyen:

.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi , .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx,. dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg , .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm,. pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb , .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip.

Esta semana en Malware Ep 10: STOP & Zorab Ransomware explota a las víctimas con un descifrador falso

STOP Ransomware utiliza un algoritmo de cifrado fuerte para hacer que cada uno de los archivos de la víctima sea inaccesible. El ataque STOP Ransomware agregará la extensión de archivo '.SUSPENDED' a los archivos que cifra, como una forma de marcar los archivos afectados.

La nota de rescate de STOP Ransomware

STOP Ransomware exige un pago de rescate mediante la entrega de una nota de rescate a la computadora de la víctima. Esta nota de rescate se muestra en un archivo de texto que se coloca en el escritorio de la víctima. El archivo, llamado '!!! YourDataRestore !!!. Txt, 'contiene el mensaje:

'Todos sus archivos importantes fueron encriptados en esta PC.
Todos los archivos con la extensión .STOP están encriptados. El cifrado se produjo utilizando la clave privada única RSA-1024 generada para esta computadora.
Para descifrar sus archivos, necesita obtener una clave privada + software de descifrado.
Para recuperar la clave privada y descifrar el software, debe contactarnos por correo electrónico stopfilesrestore@bitmessage.ch envíenos un correo electrónico con su archivo !!! YourDataRestore !!!. Txt y espere más instrucciones.
Para que esté seguro de que podemos descifrar sus archivos, puede enviarnos un 1-3 encriptado no muy grande y enviarlo de vuelta en su forma original GRATIS.
Precio por descifrado $ 600 si nos contacta las primeras 72 horas.
Tu identificación personal:
[CARACTERES AL AZAR]
Dirección de correo electrónico para contactarnos:
stopfilesrestoret@bitmessage.ch
Reserve la dirección de correo electrónico para contactarnos:
stopfilesrestore@india.com '

Las personas responsables de STOP Ransomware exigen un pago de rescate de 600 USD que se pagará con Bitcoin a una dirección de billetera Bitcoin específica, y dentro de las 72 horas. Sin embargo, ponerse en contacto con estas personas o pagar el rescate de STOP Ransomware puede no ser la mejor solución.

Protección de sus datos contra el ransomware STOP y otros troyanos de ransomware

La mejor protección contra STOP Ransomware y otros troyanos ransomware es tener copias de seguridad de los archivos. Los usuarios de computadoras que tienen copias de seguridad de sus archivos pueden recuperar estos archivos fácilmente después de un ataque sin tener que recurrir a pagar el rescate. Un programa de seguridad recomendado también puede evitar que STOP Ransomware se instale en primer lugar.

Actualización 6 de diciembre de 2018 - 'helphadow@india.com' Ransomware

El 'helphadow@india.com' Ransomware se clasifica como una actualización comparativamente pequeña del código que lleva la marca STOP Ransomware. Los autores de amenazas no parecen haber dedicado suficiente tiempo a pulir la nueva variante, ya que obtuvo una tasa de infección baja. El ransomware 'helphadow@india.com' fue recogido por los proveedores de AV rápidamente, y se han emitido alertas a través de las principales plataformas sociales e informes de ciberseguridad. Desafortunadamente, todavía no hay posibilidad de descifrado gratuito. Los usuarios suelen verse comprometidos a través de un documento dañado recibido por correo electrónico. Se sabe que la amenaza borra las instantáneas de Shadow Volume creadas por Windows y adjunta la extensión '.shadow' a los objetos cifrados. Por ejemplo, 'C12-H22-O11.pptx' cambia de nombre a 'C12-H22-O11.pptx.shadow' y aparece una nota de rescate llamada '! Readme.txt' en el escritorio. Es probable que el ransomware 'helphadow@india.com' muestre el siguiente mensaje a los usuarios infectados:

'TODOS SUS ARCHIVOS ESTÁN CIFRADOS
¡No se preocupe, puede devolver todos sus archivos!
Todos sus archivos, documentos, fotos, bases de datos y otros importantes están cifrados con el cifrado más fuerte y la clave única.
El único método para recuperar archivos es comprar una herramienta de descifrado y una clave única para usted.
Este software descifrará todos sus archivos cifrados.
¿Qué garantías te damos?
Puede enviar uno de sus archivos cifrados desde su PC y lo desciframos gratis.
Pero podemos descifrar solo 1 archivo de forma gratuita. El archivo no debe contener información valiosa
No intente utilizar herramientas de descifrado de terceros porque destruirá sus archivos.
Descuento del 50% disponible si se comunica con nosotros las primeras 72 horas.
Para obtener este software, debe escribir en nuestro correo electrónico:
helphadow@india.com
Reserve la dirección de correo electrónico para contactarnos:
helphadow@firemail.cc
Tu identificación personal:
[caracteres aleatorios] '

El texto que se muestra arriba es utilizado por variantes lanzadas antes que el ransomware 'helphadow@india.com' y la única alteración que vale la pena señalar es la nueva configuración de correos electrónicos. El ransomware 'helphadow@india.com' lleva el nombre de uno de los contactos de correo electrónico, y el otro remite a los usuarios al mismo nombre de usuario pero en una plataforma de correo electrónico diferente: 'helphadow@firemail.cc'. Es probable que ambas cuentas de correo electrónico se cancelen cuando llegue este artículo. Las posibilidades de atrapar a quien esté detrás del helphadow@india.com 'Ransomware no son grandes considerando que los operadores de ransomware usan proxies, servicios VPN y la red TOR para ocultar sus dispositivos de control. Por lo tanto, los usuarios deben ser proactivos en la defensa de sus datos. Paso número uno: instale un programa de respaldo en su sistema; Paso número dos: no abra archivos de remitentes desconocidos. Recuerde exportar sus copias de seguridad de datos a un almacenamiento de memoria extraíble o un servicio de alojamiento de archivos.

Actualización 13 de diciembre de 2018 - '.djvu File Extension' Ransomware

El '.djvu File Extension' Ransomware es una nueva variante del STOP Ransomware que se informó el 12 de diciembre de 2018. Los investigadores de seguridad informática clasifican el '.djvu File Extension' Ransomware como una pequeña actualización de las versiones anteriores del STOP Ransomware y alerta de que la amenaza todavía se distribuye principalmente a través de correos electrónicos no deseados. Los actores de amenazas han estado utilizando documentos habilitados para macros y archivos PDF falsos para engañar a los usuarios para que instalen su programa en silencio. Los ataques con el ransomware '.djvu File Extension' son casi los mismos que los de la primera ola de infecciones en febrero de 2018. La amenaza elimina las instantáneas y los mapas de Shadow Volume conectados a las unidades de memoria antes de cifrar los datos del usuario. La nueva variante admite una extensión de archivo diferente y la nota de rescate se modifica ligeramente. Como su nombre indica, los archivos reciben el sufijo '.djvu' y algo como 'Jonne-Kaiho.mp3' se renombra a 'Jonne-Kaiho.mp3.djvu'. La nota de rescate se puede ver en el escritorio como '_openme.txt' y dice:

'TODOS SUS ARCHIVOS ESTÁN CIFRADOS
¡No se preocupe, puede devolver todos sus archivos!
Todos sus archivos, documentos, fotos, bases de datos y otros importantes están cifrados con el cifrado más fuerte y la clave única.
El único método para recuperar archivos es comprar una herramienta de descifrado y una clave única para usted.
Este software descifrará todos sus archivos cifrados.
¿Qué garantías te damos?
Puede enviar uno de sus archivos cifrados desde su PC y lo desciframos gratis.
Pero podemos descifrar solo 1 archivo de forma gratuita. El archivo no debe contener información valiosa
No intente utilizar herramientas de descifrado de terceros porque destruirá sus archivos.
Descuento del 50% disponible si se comunica con nosotros las primeras 72 horas.
Para obtener este software, debe escribir en nuestro correo electrónico:
helphadow@india.com

Reserve la dirección de correo electrónico para contactarnos:
helphadow@firemail.cc

Tu identificación personal:
[caracteres aleatorios] '

Los autores de amenazas continúan usando las cuentas de correo electrónico 'helphadow@india.com' y 'helphadow@firemail.cc' para su campaña de ransomware. No confíe en el equipo de STOP Ransomware y evite usar el descuento falso del 50% mencionado anteriormente. Los actores de amenazas discutidos aquí no son conocidos por su indulgencia. Los usuarios de PC deben eliminar el ransomware '.djvu File Extension' utilizando un instrumento antimalware de confianza. Es mejor utilizar imágenes de respaldo y servicios de respaldo para recuperar sus datos.

Actualización 11 de enero de 2019 - '.tfude File Extension' Ransomware

El '.tfude File Extension' Ransomware es una versión del STOP Ransomware que salió el 11 de enero de 2019. La amenaza se clasifica como una versión que presenta modificaciones mínimas en comparación con la ciberamenaza original. El ransomware '.tfude File Extension' lleva el nombre del único cambio notable en su código dañado. El troyano está configurado para adjuntar la extensión de archivo '.tfude' a los datos cifrados. El ransomware '.tfude File Extension' continúa utilizando tecnologías de cifrado estándar y conexiones seguras a los servidores de Command que impiden que los especialistas en seguridad ofrezcan descifrado gratuito a los usuarios comprometidos.

La amenaza criptográfica en cuestión utiliza tecnologías de cifrado que las agencias gubernamentales y empresas como Google Inc. emplean para proteger las transmisiones de datos. Los archivos cifrados se muestran en el explorador de Windows como iconos blancos genéricos y los programas que el usuario ha instalado siguen funcionando. Sin embargo, es posible que algunos administradores de bases de datos no funcionen correctamente ya que la amenaza codifica formatos de bases de datos populares. Por ejemplo, "Recent sales.pdb" se renombra a "Recent sales.pdb.tfude". La nota de rescate se carga en el Bloc de notas desde el archivo '_openme.txt', que se puede encontrar en el escritorio. El ransomware '.tfude File Extension' ofrece el mismo mensaje que el troyano original, pero esta vez los actores de la amenaza están utilizando la cuenta de correo electrónico 'pdfhelp@firemail.cc' para comunicarse con los usuarios. No hay un descifrador gratuito disponible para los usuarios, y deberá usar copias de seguridad de datos para recuperarse. Deberá limpiar los dispositivos infectados ejecutando un análisis completo del sistema con un instrumento anti-malware de buena reputación.

Actualización 23 de enero de 2019 - 'pausa@bitmessage.ch' Ransomware

El ransomware 'pausa@bitmessage.ch' es un malware codificador de archivos que se produce con STOP Ransomware Builder. El ransomware 'pausa@bitmessage.ch' se lanzó a los usuarios de PC a través de correos electrónicos no deseados en la primera semana de mayo de 2018. El ransomware 'pausa@bitmessage.ch' se percibe como un troyano de cifrado genérico que sobrescribe los datos en las computadoras infectadas y elimina el volumen instantáneas para obstruir la recuperación. Se sabe que el ransomware 'pausa@bitmessage.ch' utiliza las mismas tecnologías de cifrado que otros ransomware exitosos como Cerber y Dharma, por nombrar algunos. El ransomware 'pausa@bitmessage.ch' está programado para ejecutarse desde la carpeta Temp en el directorio AppData y aplicar un cifrado AES-256 seguro a documentos, videos, música, bases de datos y libros electrónicos. Los datos codificados reciben la extensión '.PAUSA' y algo como 'Hartmann-Save me.mp3' pasa a llamarse 'Hartmann-Save me.mp3.pausa'. La notificación de rescate se guarda como '!! RESTORE !!!. Txt' en el escritorio del usuario y dice:

'Todos sus archivos importantes fueron encriptados en esta PC.
Todos los archivos con la extensión .PAUSA están encriptados.
El cifrado se produjo utilizando la clave privada única RSA-1024 generada para esta computadora.
Para descifrar sus archivos, necesita obtener una clave privada + software de descifrado.
Para recuperar la clave privada y descifrar el software, debe contactarnos por correo electrónico pausa@bitmessage.ch envíenos un correo electrónico con su archivo !!! RESTORE !!!. Txt y espere más instrucciones.
Para que esté seguro de que podemos descifrar sus archivos, puede enviarnos de 1 a 3 archivos cifrados no muy grandes y se los devolveremos GRATIS en su forma original.
Precio por descifrado $ 600 si nos contacta las primeras 72 horas.
Tu identificación personal:
[caracteres aleatorios]
Dirección de correo electrónico para contactarnos:
pausa@bitmessage.ch
Reserve la dirección de correo electrónico para contactarnos:
pausa@india.com '

Le recomendamos que evite las negociaciones con los actores de amenazas a través de las cuentas de correo electrónico 'pausa@bitmessage.ch' y 'pausa@india.com'. Es más seguro iniciar copias de seguridad de datos y limpiar su sistema con la ayuda de una herramienta anti-malware de buena reputación. Incluso si paga el absurdo rescate de $ 600, no hay garantía de que reciba un descifrador. Se recomienda a los usuarios de PC que realicen copias de seguridad de los datos al menos dos veces al mes e ignoren los mensajes de spam que pueden comprometer la seguridad. Las compañías antivirus admiten reglas de detección para el ransomware 'pausa@bitmessage.ch', pero no hay un descifrador gratuito disponible en el momento de redactar este artículo.

Actualización 23 de enero de 2019: ransomware 'esperando@bitmessage.ch'

El ransomware 'wait@bitmessage.ch' es un troyano de cifrado que se basa en STOP Ransomware. El ransomware 'esperando@bitmessage.ch' fue informado por usuarios comprometidos el 18 de abril de 2018 y parece invadir computadoras a través de documentos corruptos de Microsoft Word. El ransomware 'esperando@bitmessage.ch' se graba para cifrar fotos, audio, video y texto en las computadoras infectadas. Desafortunadamente, los autores de malware agregaron un comando para eliminar las instantáneas de volumen que Windows hace para proteger sus datos. El troyano sobrescribe los datos específicos con archivos que llevan la extensión '.WAITING' y no se pueden abrir con software en su sistema. Por ejemplo, 'Hartmann-Like a River.mp3' se renombra a 'Hartmann-Like a River.mp3.waiting' y se coloca un mensaje de rescate en su escritorio. El ransomware 'esperando@bitmessage.ch' escribe '!!! INFO_RESTORE !!!. Txt' en el escritorio y muestra el siguiente texto:

'Todos sus archivos importantes fueron encriptados en esta PC.
Todos los archivos con la extensión .WAITING están encriptados.
El cifrado se produjo utilizando la clave privada única RSA-1024 generada para esta computadora.
Para descifrar sus archivos, necesita obtener una clave privada + software de descifrado.
Para recuperar la clave privada y descifrar el software, debe ponerse en contacto con nosotros por correo electrónico esperando@bitmessage.ch envíenos un correo electrónico con su archivo !!! INFO_RESTORE !!!. Txt y espere más instrucciones.
Para que esté seguro de que podemos descifrar sus archivos, puede enviarnos de 1 a 3 archivos cifrados no muy grandes y se los devolveremos GRATIS en su forma original.
Precio por descifrado $ 600 si nos contacta las primeras 72 horas.
Tu identificación personal:
[caracteres aleatorios]
Dirección de correo electrónico para contactarnos:
esperando@bitmessage.ch
Reserve la dirección de correo electrónico para contactarnos:
esperando@india.com '

El malware no interfiere con las herramientas de copia de seguridad de terceros y debería poder iniciar copias de seguridad de datos. Se recomienda evitar la interacción con los actores de amenazas a través de las direcciones de correo electrónico 'esperando@bitmessage.ch' y 'esperando@india.com'. Es posible que le interese explorar los servicios de alojamiento de archivos si desea proteger sus copias de seguridad de datos contra las amenazas cibernéticas transmitidas por la red y la mayoría de las variantes de Ransomware, como el Ransomware 'esperando@bitmessage.ch'.

Actualización 25 de noviembre de 2019 - .zobm y Extensiones .rote

Los investigadores de seguridad se encontraron con un par de nuevas variantes de STOP Ransomware el 24 de noviembre y el 25 de noviembre de 2019. Las variantes de ransomware agregaron los archivos cifrados con las extensiones .zobm y .rote, pero tenían una nota de rescate idéntica, llamada _readme.txt. Los correos electrónicos a través de los cuales se podía llegar a los actores de la amenaza también eran los mismos: datarestorehelp@firemail.cc y datahelp@iran.ir.

¡ATENCIÓN!
¡No se preocupe, puede devolver todos sus archivos!
Todos sus archivos, como fotos, bases de datos, documentos y otros importantes, están cifrados con el cifrado más fuerte y la clave única.
El único método para recuperar archivos es comprar una herramienta de descifrado y una clave única para usted.
Este software descifrará todos sus archivos cifrados.
¿Qué garantías tienes?
Puede enviar uno de sus archivos cifrados desde su PC y lo desciframos gratis.
Pero podemos descifrar solo 1 archivo de forma gratuita. El archivo no debe contener información valiosa.
Puede obtener y ver la herramienta de descifrado de descripción general de video:
https://we.tl/t-4NWUGZxdHc
El precio de la clave privada y el software de descifrado es de $ 980.
Descuento del 50% disponible si se comunica con nosotros las primeras 72 horas, el precio para usted es de $ 490.
Tenga en cuenta que nunca podrá restaurar sus datos sin pago.
Revise la carpeta "Spam" o "Junk" de su correo electrónico si no obtiene respuesta en más de 6 horas.

Para obtener este software, debe escribir en nuestro correo electrónico:
datarestorehelp@firemail.cc
Reserve la dirección de correo electrónico para contactarnos:
datahelp@iran.ir
Tu identificación personal:
[caracteres aleatorios]

 

DETENGA el ransomware en 2019 y más allá

Más tarde en 2019, el ransomware STOP todavía se estaba utilizando y se estaban probando nuevos vectores de ataque. El ransomware STOP comenzó a aparecer en paquetes que contienen otras formas de malware, principalmente adware, que puede encontrar en sitios web que afirman albergar ejecutables descifrados para juegos y software. De esta manera, muchas de las nuevas víctimas del ransomware resultaron ser piratas de software esperanzados que buscaban quién obtenía más de lo que esperaban.

También ha habido evidencia de que STOP ransomware está instalando troyanos ladrones de contraseñas que pueden extraer varias credenciales de inicio de sesión.

El ransomware también amplió la larga lista de extensiones de archivos cifrados que utiliza. Los archivos cifrados por el ransomware STOP ahora reciben las extensiones .rumba y .tro. Hasta ahora, poco más ha cambiado: la nota de rescate todavía se encontraba en un archivo llamado "_openme.txt", pero la suma del rescate aumentó a $ 980, con una reducción a $ 490 si la víctima paga dentro de las primeras 72 horas posteriores a la infección. .

Actualización 24 de marzo de 2020 - Nuevas variantes

Los actores de amenazas detrás de STOP Ransomware han estado trabajando tan incansablemente en 2020 como lo hicieron en 2019, con nuevas variantes que cifran los archivos de las víctimas y los agregan con una variedad de nuevas extensiones. Algunas de las nuevas extensiones de STOP Ransomware incluyen .piny, .redl, .rooe, mmnn, .ooss, .rezm, .lokd y .foop.

Una muestra de una nota de rescate que venía con la variante .lokd contenía el siguiente texto:

¡ATENCIÓN!

¡No se preocupe, puede devolver todos sus archivos!
Todos sus archivos, como fotos, bases de datos, documentos y otros importantes, están cifrados con el cifrado más fuerte y la clave única.
El único método para recuperar archivos es comprar una herramienta de descifrado y una clave única para usted.
Este software descifrará todos sus archivos cifrados.
¿Qué garantías tienes?
Puede enviar uno de sus archivos cifrados desde su PC y lo desciframos gratis.
Pero podemos descifrar solo 1 archivo de forma gratuita. El archivo no debe contener información valiosa.
Puede obtener y ver la herramienta de descifrado de descripción general de video:
https://we.tl/t7m8Wr997Sf
El precio de la clave privada y el software de descifrado es de $ 980.
Descuento del 50% disponible si se comunica con nosotros las primeras 72 horas, el precio para usted es de $ 490.
Tenga en cuenta que nunca podrá restaurar sus datos sin pago.
Revise su carpeta de correo electrónico "Spam" o "Correo no deseado" si no obtiene respuesta en más de 6 horas.

Para obtener este software, debe escribir en nuestro correo electrónico:
helpdatarestore@firemail.cc
Reserve la dirección de correo electrónico para contactarnos:
helpmanager@mail.ch
Tu identificación personal:
[caracteres aleatorios]

Otros correos electrónicos que los actores de amenazas han estado usando con estas nuevas variantes incluyen helpmanager@iran.ir y helpmanager@firemail.cc.

Información Técnica

Detalles del Sistema de Archivos

DETENER ransomware tiene típicamente los siguientes procesos en la memoria:
# Nombre Talla MD5 Recuento de Detección
1 C:\Users\Taptuk Emre\AppData\Local\102fb358-26bf-41e4-b074-312d0d16e568\BB30.exe\BB30.exe 727,040 f8ef98bbaff6ac82dacde20ee90bfa55 4,170
2 %SYSTEMDRIVE%\Users\PAVANELLI\AppData\Local\Temp\5F1F.exe\5F1F.exe 897,024 b5b59a34192343da2c0fc84fb3bb6b2e 3,148
3 c:\users\francesco\appdata\local\a05fcb62-f9f6-48a2-9c62-a208896cefa2\3ffa.exe\3ffa.exe 813,056 a0192bd5d8164e61819890e908fa0e7d 1,887
4 %SYSTEMDRIVE%\Users\weerawat.o\AppData\Local\e6f3a7c5-88d6-4bfb-b173-4c38bd04efdc\97DE.tmp.exe\97DE.tmp.exe 446,464 4e8f1415dd3366f81fa3960db4cf70f9 1,770
5 %SYSTEMDRIVE%\users\administrator\appdata\local\c91d2281-49d1-471c-8716-d6db40179136\1368.tmp.exe\1368.tmp.exe 398,336 8cebee5086592386fa86f3ee5bacc0d2 1,647
6 %SYSTEMDRIVE%\users\ryan brown\appdata\local\6c1cb14b-1f04-4ecc-9b6d-32678fba87a7\9686685955.exe\9686685955.exe 863,744 5c71f8c3bb000d163fc2e63c089b35a1 1,628
7 %SYSTEMDRIVE%\users\server.server1-pc\appdata\local\c545263a-7487-4361-a662-bb9f7794250f\a395.tmp.exe\a395.tmp.exe 381,952 536f955ae69e666b44aac54c7619b9b1 1,584
8 \??\C:\USERS\S16FA~1.SUM\APPDATA\LOCAL\TEMP\3823.TMP.EXE.WPT\3823.TMP.EXE.WPT 465,920 d4fceee0f4fe0f1b50a5c957eab5151b 1,497
9 %SYSTEMDRIVE%\Users\Lenovo\AppData\Local\0e098dd2-a0e4-42ea-a204-a931f3d13513\512B.tmp.exe\512B.tmp.exe 414,720 89b1b4f3f6ec190865abaa7f61046ee5 1,254
10 C:\Users\chris\AppData\Local\3cff1b5e-8469-4b48-ae3b-dcd187aa5371\3344.exe\3344.exe 898,048 6a4d9e0ad2a5361dd947537182f5692d 1,229
11 %SYSTEMDRIVE%\users\govind\appdata\local\424e6b7f-e965-4b52-b456-be94f7d6637a\d5e2.tmp.exe 522,240 4c1b9a14dda6a74b7abff708758d98f6 1,038
12 %SYSTEMDRIVE%\Users\administrator\AppData\Local\d0266395-b014-4ed8-b578-631ea77f3e4e\B117.tmp.exe\B117.tmp.exe 494,080 283bf952e656763a94626cac01d7bc85 978
13 %SYSTEMDRIVE%\users\pc\appdata\local\57241f6d-7256-4584-8d3d-bc831432c4cd\25b9.tmp.exe\25b9.tmp.exe 799,232 9bd737b220a4040dbcaf17f48be54a98 822
14 %SYSTEMDRIVE%\Users\Amr\AppData\Local\730020ce-08aa-4f5c-9efb-af8385fdad19\3A93.tmp.exe\3A93.tmp.exe 418,816 d5995275a4d96672ed08cc6188143a7a 773
15 c:\users\adip\appdata\local\temp\2c6b.tmp.exe 403,456 ac2dffb783aed99d77ecc2006a29d971 744
16 %SYSTEMDRIVE%\users\wael\appdata\local\ea8baec4-cbd4-4336-84ff-dda0d8f701d6\618.tmp.exe 412,672 99ba307185c56cfb6d9ea965fcfef083 719
17 %SYSTEMDRIVE%\users\jass\appdata\local\2456a31a-48fa-4fb4-9c68-0c48c3d9954e\160f.tmp.exe 436,224 3a1a3c4b4b3de474b574f48198d6e41e 647
18 %SYSTEMDRIVE%\users\ranaweera\appdata\local\72bea499-40e8-4171-9908-3a91f110d67f\1df7.tmp.exe\1df7.tmp.exe 654,848 ad5a82caee53510fafcdfcddfa74daae 40
19 %SYSTEMDRIVE%\users\adixx\appdata\local\a27e663f-5d4a-4976-8d39-f96c9fc766d8\5cd3.tmp.exe\5cd3.tmp.exe 430,978 1569c3b648b4c63ae39ddc2d2d91b7d5 14
20 %SYSTEMDRIVE%\users\user\appdata\local\09b3d467-2d15-441e-9d65-6b4a5d9bf509\e5cb.tmp.exe 503,751 031ff93d3e55a84f475cf0b563fe7f65 14
21 %SYSTEMDRIVE%\users\bdu\appdata\local\51f7495d-3c09-4597-8582-f09b1fd5debc\5dcc.tmp.exe 487,424 e3b973420daf30a4180f60337a2eaf90 14
22 %SYSTEMDRIVE%\users\user01\appdata\local\71e51782-6237-4e6d-a36e-d1f920af9ed9\6fa4.tmp.exe\6fa4.tmp.exe 596,423 67e8f528b4db3443a74718443a2fc788 12
23 %SYSTEMDRIVE%\users\rimusa\appdata\local\2a7db3c3-a785-4936-8d95-a80bc680c93f\cc0.tmp.exe\cc0.tmp.exe 563,722 0564489cff6c549ca82b7a470b305346 11
24 %SYSTEMDRIVE%\users\m kashif\appdata\local\532a3dc7-3a4d-47a8-8cfc-ae55ec6aedc5\c11d.tmp.exe\c11d.tmp.exe 530,887 a0eb1e740d92c51576ed117d8b6de3c5 11
25 ransomware.exe 444,928 fdc340769c3ca364f6cc7ca1be99762b 0
Más Archivos

Detalles del Registro

DETENER ransomware crea las siguientes entradas de registro:
Directory
%ALLUSERSPROFILE%\tzjajmmqgl
%PROGRAMFILES%\3Dmarkproa
%PROGRAMFILES%\3DMarkproed
%PROGRAMFILES%\3DMarkproediot
%PROGRAMFILES%\3DMarkproedit
%PROGRAMFILES%\Blubnerg
%PROGRAMFILES%\cedfs
%PROGRAMFILES%\chrum\xon\note
%PROGRAMFILES%\company\3dmarkssdf
%PROGRAMFILES%\company\64Product
%PROGRAMFILES%\crights\file\xml
%PROGRAMFILES%\Cry\Cryp
%PROGRAMFILES%\cryptoss
%PROGRAMFILES%\crys\cry
%PROGRAMFILES%\crysp\cryq
%PROGRAMFILES%\Davai
%PROGRAMFILES%\der\supr
%PROGRAMFILES%\dera\kii
%PROGRAMFILES%\ferr\seda\sx\bin
%PROGRAMFILES%\Glary\Utilities\Settings
%PROGRAMFILES%\hop
%PROGRAMFILES%\Hyps
%PROGRAMFILES%\inner\win\bin
%PROGRAMFILES%\Innovativ\ddd
%PROGRAMFILES%\Ivp\bin
%ProgramFiles%\kiss\me
%PROGRAMFILES%\krontal
%PROGRAMFILES%\laert
%PROGRAMFILES%\laerts
%PROGRAMFILES%\Laertseer
%PROGRAMFILES%\lass\inst
%PROGRAMFILES%\lastpass\bur\tronfiles
%PROGRAMFILES%\Lawer\Xor
%PROGRAMFILES%\lawop
%PROGRAMFILES%\lawops
%PROGRAMFILES%\Marg\Cr
%PROGRAMFILES%\margin\marg
%ProgramFiles%\mroz\new\trunk
%PROGRAMFILES%\Mup\Cr
%PROGRAMFILES%\opur
%PROGRAMFILES%\Opute
%PROGRAMFILES%\Rondom
%PROGRAMFILES%\sccsd
%PROGRAMFILES%\Sir\Air
%PROGRAMFILES%\sir\xd
%PROGRAMFILES%\Tryhd
%PROGRAMFILES%\virtka
%PROGRAMFILES%\xery
%PROGRAMFILES%\youtubedown
%PROGRAMFILES(x86)%\3Dmarkproa
%PROGRAMFILES(x86)%\3DMarkproed
%PROGRAMFILES(x86)%\3DMarkproediot
%PROGRAMFILES(x86)%\3DMarkproedit
%PROGRAMFILES(x86)%\Blubnerg
%PROGRAMFILES(x86)%\cedfs
%PROGRAMFILES(x86)%\chrum\xon\note
%PROGRAMFILES(x86)%\company\3dmarkssdf
%PROGRAMFILES(x86)%\company\64Product
%PROGRAMFILES(x86)%\crights\file\xml
%PROGRAMFILES(x86)%\Cry\Cryp
%PROGRAMFILES(x86)%\cryptoss
%PROGRAMFILES(x86)%\crys\cry
%PROGRAMFILES(x86)%\crysp\cryq
%PROGRAMFILES(x86)%\Davai
%PROGRAMFILES(x86)%\der\supr
%PROGRAMFILES(x86)%\dera\kii
%PROGRAMFILES(x86)%\ferr\seda\sx\bin
%PROGRAMFILES(x86)%\Glary\Utilities\Settings
%PROGRAMFILES(x86)%\hop
%PROGRAMFILES(x86)%\Hyps
%PROGRAMFILES(x86)%\inner\win\bin
%PROGRAMFILES(x86)%\Innovativ\ddd
%PROGRAMFILES(x86)%\Ivp\bin
%ProgramFiles(x86)%\kiss\me
%PROGRAMFILES(x86)%\krontal
%PROGRAMFILES(x86)%\laert
%PROGRAMFILES(x86)%\laerts
%PROGRAMFILES(x86)%\Laertseer
%PROGRAMFILES(x86)%\lass\inst
%PROGRAMFILES(x86)%\lastpass\bur\tronfiles
%PROGRAMFILES(x86)%\Lawer\Xor
%PROGRAMFILES(x86)%\lawop
%PROGRAMFILES(x86)%\lawops
%PROGRAMFILES(x86)%\Marg\Cr
%PROGRAMFILES(x86)%\margin\marg
%ProgramFiles(x86)%\mroz\new\trunk
%PROGRAMFILES(x86)%\Mup\Cr
%PROGRAMFILES(x86)%\opur
%PROGRAMFILES(x86)%\Opute
%PROGRAMFILES(x86)%\Rondom
%PROGRAMFILES(x86)%\sccsd
%PROGRAMFILES(x86)%\Sir\Air
%PROGRAMFILES(x86)%\sir\xd
%PROGRAMFILES(x86)%\Tryhd
%PROGRAMFILES(x86)%\virtka
%PROGRAMFILES(x86)%\xery
%PROGRAMFILES(x86)%\youtubedown
File name without path
34fedwfe.exe
3fwedfe.exe
45rfedwwed.exe
45trgvdcregt.exe
4gtrecwr3t4g.exe
4rfeerwd.exe
54grfecr4bv.exe
5t4fr3dex.exe
5ygt4rfcd.exe
745rgfed.exe
brgrtv3f.exe
btevfrdcs.exe
ewfwe2.exe
ewrewexcf.exe
gtreefcd.exe
hwxfesa.exe
r44r3red.exe
retrvced.exe
rewrtrbvfd.exe
rfhi3f.exe
t4rtecf3rfe.exe
tbvgrfced.exe
tgrfet4tgrf.exe
trvecwx.exe
uyjhbv.exe
ybtvgrfcd.exe
yntbrvecd.exe
Regexp file mask
%programfiles%\fina\dowloadx.exe
%programfiles%\jack\setup.exe
%programfiles%\jack\setx.exe
%programfiles%\love\setup.exe
%programfiles%\new year\setx.exe
%programfiles(x86)%\fina\dowloadx.exe
%programfiles(x86)%\jack\setup.exe
%programfiles(x86)%\jack\setx.exe
%programfiles(x86)%\love\setup.exe
%programfiles(x86)%\new year\setx.exe

Artículos Relacionados

Importante Aviso de Renuncia de Responsabilidades

Enigmasoftware.com no está asociado, afiliado, patrocinado ni es propiedad de los creadores o distribuidores de malware mencionados en este artículo. Este artículo NO debe confundirse ni confundirse al estar asociado de alguna manera con la promoción o el respaldo de malware. Nuestra intención es proporcionar información que eduque a los usuarios de computadoras sobre cómo detectar y, en última instancia, eliminar el malware de su computadora con la ayuda de SpyHunter y/o las instrucciones de eliminación manual proporcionadas en este artículo.

Este artículo se proporciona "tal cual" y se utilizará únicamente con fines de información educativa. Al seguir las instrucciones de este artículo, usted acepta estar sujeto al descargo de responsabilidad. No garantizamos que este artículo lo ayude a eliminar por completo las amenazas de malware en su computadora. El spyware cambia regularmente; por lo tanto, es difícil limpiar completamente una máquina infectada por medios manuales.

Deja una Respuesta

NO use este sistema de comentarios para soporte o preguntas de facturación. Para problemas de facturación, consulte nuestra página "¿ Preguntas o problemas de facturación?". Para problemas de facturación, consulte nuestra página "Preguntas o Problemas de Facturación?". Para consultas generales (quejas, legal, prensa, marketing, derechos de autor), visite nuestra página "Consultas y Comentarios".


HTML no está permitido.