Esta documentación nos ha sido facilitada por Microsoft.
Con el dispositivo desconectado comprobaremos si se ha producido infección, en ese caso se han creado los siguientes ficheros:
• %SystemRoot%\mssecsvc.exe
• %SystemRoot%\tasksche.exe
• %SystemRoot%\qeriuwjhrf
• b.wnry
• c.wnry
• f.wnry
• r.wnry
• s.wnry
• t.wnry
• u.wnry
• taskdl.exe
• taskse.exe
• 00000000.eky
• 00000000.res
• 00000000.pky
• @WanaDecryptor@.exe
• @Please_Read_Me@.txt
• m.vbs
• @WanaDecryptor@.exe.lnk
• @WanaDecryptor@.bmp
• 274901494632976.bat
• taskdl.exe
• Taskse.exe
• Files with ".wnry" extension
Se han creado ficheros con la extensión ".WNCRY"
Consulte el registro por si existe esta clave:
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\<random string> = "<malware working directory>\tasksche.exe"
- HKLM\SOFTWARE\WanaCrypt0r\\wd = "<malware working directory>"
- HKCU\Control Panel\Desktop\Wallpaper: "<malware working Directory>\@WanaDecryptor@.bmp"
Puede haber creado aleatoriamente un nombre de servicio, que tiene asociada la siguiente ruta;
"cmd.exe /c "<malware working directory>\tasksche.exe""
Una vez comprobado esto debe ejecutar un scan del Antivirus y sino encuentra nada el equipo se podría poner en red ya que no hay rastro del malware.