Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Ransom.K es un troyano diseñado para chantajear a los usuarios, encriptando los documentos que encuentre en el ordenador, para que los usuarios no puedan acceder a ellos.
Ransom.K realiza las siguientes acciones:
- Llega al ordenador en un archivo con el siguiente icono, haciéndose pasar por un archivo de ayuda:
- Cuando el archivo es ejecutado, se muestra un fondo de pantalla en el monitor, y el troyano comienza a encriptar los documentos que encuentre con extensión DB (Access), DOC (documentos Word), JPG (imágenes), TXT (archivos de texto) y XLS (documentos Excel).
- El fondo de pantalla contiene un mensaje informando a los usuarios que sus archivos han sido encriptados y para poder recuperarlos, tienen que enviar un mensaje de correo electrónico y pagar 100$, para poder recibir un programa que los desencripte:
- Una vez que ha terminado de encriptar los archivos, se abre un archivo de texto con el mensaje "Very bad news..." (Muy malas noticias):
- A partir de este momento, los usuarios no podrán acceder a ninguno de los documentos que han sido encriptados.
A continuación, se muestra un ejemplo de la cabecera de un archivo JPG antes de ser encriptado:
La siguiente imagen corresponde a la cabecera del mismo archivo después de ser encriptado:
Si los usuarios intentan abrir el archivo JPG, no se mostrará nada:
¿Cómo se pueden recuperar los archivos?
Debido a un error en el troyano, hay una solucion sencilla para recuperar los documentos sin necesidad de pagar por ello. Si su ordenador esta afectado por el troyano, lo primero que tiene que hacer es ir al directorio de Windows (C:\Windows), encontrar un archivo llamado CRYPTLOGFILE.TXT y borrarlo. Este archivo contiene la lista de documentos que el troyano ha encontrado en el ordenador para encriptarlos.
Una vez que se ha eliminado el archivo, tiene que volver a ejecutar el archivo malicioso y debido a dichos errores, todos los archivos serán desencriptados y recuperados.
Metodo de Infección
Ransom.K crea el archivo CRYPTLOGFILE.TXT en el directorio de Windows. Este archivo de texto contiene la lista de documentos que el troyano ha encontrado en el ordenador, para después encriptarlos.
Método de Propagación
Ransom.K no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
Otros Detalles
Ransom.K tiene un tamaño de 143784 Bytes.