"C:\Program Files\Microsoft Visual Studio\VC98"

Cuando se ejecuta por primera vez, crea el siguiente archivo temporal en todas las unidades de disco:

ZIPPO_CRYPTOR.ZIP

También inyecta su componente DLL en todas las aplicaciones que se estén ejecutando.

Luego, busca archivos con las siguientes extensiones:

.arh
.arj
.asm
.bas
.c
.cdr
.cgi
.cpp
.chm
.db
.db1
.db2
.dbf
.dbt
.dbx
.doc
.dpr
.dsw
.frm
.frt
.frx
.gtd
.gz
.gzip
.jpg
.key
.kwm
.lst
.man
.mdb
.mmf
.mo
.old
.p12
.pak
.pas
.pdf
.pgp
.pl
.pwl
.pwm
.rar
.rtf
.safe
.tar
.txt
.xls
.xml
.zip

Todos los archivos encontrados, son comprimidos en un archivo .ZIP con la contraseña ya mostrada al comienzo de esta descripción. Los nuevos archivos tendrán el mismo nombre más la cadena "_CRYPT_.ZIP":

[nombre de archivo]_CRYPT_.ZIP

El contenido de los archivos originales será suplantado por el siguiente texto:

Erased by Zippo! GO OUT!!!

También creará en cada carpeta donde haya actuado, el siguiente archivo:

AUTO_ZIP_REPORT.TXT

Este archivo contiene un texto con las instrucciones para que la víctima pague al creador del troyano una determinada cifra a los efectos de poder desencriptar y volver a utilizar sus archivos.

El texto es el siguiente:

OUR E-GOLD ACCOUNT: [número de cuenta]

INSTRUCTIONS HOW TO GET YUOR FILES BACK READ CAREFULLY. IF YOU DO NOT UNDERSTAND, READ AGAIN.

This is automated report generated by auto archiving software.

Your computer catched our software while browsing illigal porn pages, all your documents, text files, databases was archived with long enought password.

You can not guess the password for your archived files - password lenght is more then 10 symbols that makes all password recovery programs fail to bruteforce it (guess password by trying all possible combinations).

Do not try to search for a program what encrypted your information - it is simply do not exists in your hard disk anymore. If you really care about documents and information in encrypted files you can pay using electonic currency $300.
Reporting to police about a case will not help you, they do not know password. Reporting somewhere about our e-gold account will not help you to restore files. This is your only way to get yours files back.

------------------------------
How to pay to get your information back.

1. click on this link to open your free e-gold account - the first screen is the e-gold "terms and conditions" page. You need to agree to these by clicking on the "I AGREE" button on the bottom on the page.
2. On the next page is the sign up form:
1. "Account name" - here is where you name your account - tip: make it easy to remember (as you will be asked for it) and reasonably short, example, "John's e-gold", "My Money e-gold" or perhaps "Felix" (whatever you like, just make it easy for you to remember it).
2. "User Name" - here just repeat the account name (from 1 above).
3. "Point of Contact" - this is where you put our name, address, phone number and email address (any email address can be used here but it is recommended you use your ISP address - not a free hotmail, etc address). It is also recommended your also include a fax number
(don't have a fax number? This company offers free fax to email services). Try and make it as easy as possible for e-gold to contact you.
4. "Passphrase" - this is the most important piece of information connected to any e-gold account. We can not stress enough how important it is that your passphrase is kept safe and secure.
5. "Turing Number Entry" - type the 6 numbers you see there into the input box below.
6. The last step click "Open"

On the next page it will tell you that your e-gold account number has been emailed to you. check your email - you can expect to wait up to 5 minutes for your account number to arrive. If it does not arrive after 5 minutes then that means the email address you supplied was incorrect and you will have to open another new account (go through and repeat what you just did above again).

To buy e-gold to your account please use official exchange services
http: // www.me-gold .com/
http: // www.goldex .net/
http: // usece .com/

or try to search own way with http: // gold-pages .net/e-Gold__1MDC__Pecunix_Wizard_Links/Purchase_E-gold
/index.html http: // www.google .com/search?hl=en&q=buy+e-gold&btnG=Google+Search

FINALLY when you bought e-gold you have to transfer $300 to our e-gold account. In next 24 hours you will recieve $1 back to your account. Transfer details of this $1 transfer will have a link to software that will automatically unzip all your files back to normal state.

Next day login to your account https: // www.e-gold .com/acct/login.html, press History and press submit, you will see LINK TO UNZIP-software.

#####################################################
Remember you are just $300 away from your files
#####################################################

Básicamente, este texto le informa al usuario que para recuperar los documentos encriptados y toda su valiosa información, deberá pagar de forma electrónica unos 300 dólares (a través de E-Gold), y que el aviso a la policía del caso, no lo ayudará.

El troyano también intentará borrar otros archivos.

NOTA: E-gold.com es un sitio dedicado al manejo de transacciones comerciales. Dicho sitio suspendió todas las cuentas que el creador del troyano pensaba utilizar para recibir los pagos por el rescate de los archivos.


Reparación manual

NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.


IMPORTANTE:

Si el troyano pudo ejecutarse y encriptar sus archivos, usted puede recuperarlos, si cuando se le pide una contraseña para abrir los archivos .ZIP creados, ingresa la siguiente (sin las comillas):

"C:\Program Files\Microsoft Visual Studio\VC98"

Sobre el componente troyano

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.

4. Borre todos los archivos detectados como infectados.


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus".

Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Borrar archivos temporales

1. Cierre todas las ventanas y todos los programas abiertos.

2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.

Nota: debe escribir también los signos "%" antes y después de "temp".

3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").

4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.

5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm


Borrar Archivos temporales de Internet

1. Vaya al Panel de control, Opciones de Internet, General

2. En Archivos temporales de Internet Haga clic en "Eliminar archivos"

3. Marque la opción "Eliminar todo el contenido sin conexión"

4. Haga clic en Aceptar, etc.


Información adicional

Cambio de contraseñas

En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.


Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com