Troyano que encripta ciertos archivos de los equipos infectados, y luego pide al usuario que este le pague al autor por recuperarlos.

No se propaga por si mismo y puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.

Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.

Otros malwares también podrían descargarlo y ejecutarlo en un sistema infectado.

Cuando se ejecuta, el troyano encripta todos los archivos de la máquina infectada con las siguientes extensiones, dejándolos inutilizables (deben ser recuperados de un respaldo anterior limpio):

  .asc
  .db
  .db1
  .db2
  .dbf
  .doc
  .htm
  .html
  .jpg
  .pgp
  .rar
  .rtf
  .txt
  .xls
  .zip

El troyano busca estos archivos en todas las unidades de disco y recursos compartidos de redes que tengan permisos de escritura.

Para no ejecutarse más de una vez en memoria, el troyano crea el siguiente mutex (un objeto indicador):

  encoder_v1.0

Crea el archivo "ATTENTION!!!.TXT" en cada carpeta donde exista uno de los archivos encriptados anteriormente. Dicho archivo contiene el siguiente texto:

  Some files are coded.
  To buy decoder mail: n781567@yahoo.com
  with subject: PGPcoder 000000000032

El troyano también crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

  HKCU\Software\Microsoft
  \Windows\CurrentVersion\Run
  services = "[camino y nombre ejecutable]"

Si el "camino completo" contiene espacios (por ejemplo: "C:\Documents and Settings\usuario\Mis documentos"), entonces dicho nombre quedará truncado en el primer espacio, fallando por lo tanto la ejecución del troyano.

El troyano también crea la siguiente entrada, que utiliza para su propio control:

  HKCU\Software\Microsoft\Sysinf
  cur_not_done = [cantidad de archivos encriptados]

También crea el siguiente archivo en la carpeta de archivos temporales de Windows:

  AUTOSAVE.IN

Este archivo contiene la lista de archivos y carpetas con permisos de escritura encontradas en la máquina infectada.

Después de encriptar todos los archivos que encuentra, el troyano crea el siguiente archivo en el raíz de C:, el cuál utiliza para borrar su propia copia del equipo infectado:

  TMP.BAT

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y elimine los archivos infectados.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la entrada "services", en la siguiente clave del registro:

  HKEY_CURRENT_USER\Software
  \Microsoft\Windows\CurrentVersion\Run

6. Borre la carpeta "Sysinf" en la siguiente clave del registro:

  HKEY_CURRENT_USER\Software
  \Microsoft\Sysinf

7. Cierre el editor del registro.

8. Desde el Explorador de Windows, busque y borre los siguientes archivos:

  ATTENTION!!!.TXT
  AUTOSAVE.IN
  TMP.BAT

9. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

NOTA: Los archivos encriptados deberán ser recuperados desde un respaldo anterior limpio.