Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Encyclopedia
GetVirusCard
True
0
Efectos |
PGPCoder.E realiza las siguientes acciones: - Cuando es ejecutado, muestra el siguiente mensaje:
 - Encripta todos los archivos con cualquier extensi�n, excepto los archivos del sistema o archivos con extensi�n BAT, COM, DLL, EXE.
- Algunas de los extensiones afectadas son: BMP, DOC, HTML, JPG, PDF, RAR, TXT, XLS, XML y ZIP, entre otros.
- Dichas extensiones incluyen documentos de Word, hojas de c�lculo de Excel, archivos de texto, im�genes, archivos comprimidos, etc.
- El usuario no podrá abrir dichos archivos hasta que sean debidamente desencriptados. PGPCoder.E da instrucciones al usuario para que env�e un mensaje a una direcci�n de correo electr�nico, de modo que pueda comprar la herramienta para desencriptarlos.
|
Metodo de Infección
PGPCoder.E crea los siguientes archivos:
- I_READ_ME_!.TXT. Crea un archivo como éste en cada carpeta en la cual haya encriptado algún archivo. Este archivo de texto contiene el siguiente mensaje:
Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: @
=== BEGIN ===
AD7D6889
010200000168000000A40000A921E893C7A8563C
5319CE3EEB105CE1A5415024215D08147BE7F001
659C3C507E9B2C1CB4C76E249EC303E5965C4273
D1AD69D07BC22E4B44E53922474439BE4D85D87F
841F599952A7D7A9E043324F619A17A066723A14
11B73F8D5CD48B7ACE7A9FB313077049293EB7D9
D28537007DFEE585D6B66DC44D6F8D0A69636F34
=== END ===
cuya traducción es:
Tus mensajes est�n encriptados con el algoritmo RSA-1024.
Para recuperar tus archivos necesitas comprar nuestro decodificador
Para comprar el decodificador, envía un mensaje a la dirección: @ - un archivo de nombre aleatorio y con extensi�n VBS en el directorio en el que haya sido ejecutado el troyano, que corresponde al mensaje que muestra cuando es ejecutado.
Adem�s, crea un directorio en el que guarda temporalmente los archivos del ordenador para encriptarlos. El directorio que crea es c:\Documents and Settings\%nombre de usuario%\Application Data\Microsoft\Crypto\RSA\S-1-5-21-583907252-1993962763-854245398-500.
PGPCoder.E encripta todos los archivos del ordenador que tengan cualquier extensión (excepto los archivos del sistema y los archivos ejecutables). Para ello, mantiene el nombre de los archivos originales y les a�ade la cadena de texto _CRYPT.
Método de Propagación
PGPCoder.E no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
Otros Detalles
PGPCoder.E tiene un tamaño de 8030 Bytes.