El archivo en cuestión no existe (404).
Lo que hace el código es descargar el archivo rep.jpg como 83152553.exe.
El código es igual al hacer clic con el botón derecho en el enlace ( enlace ), guardar como, guardar en disco duro y luego cambiar el nombre rep.jpg a 83152553.exe, y luego la posibilidad de ejecutar el archivo.
El motivo por el que se trata de un archivo JPG es eludir las restricciones de carga en sitios web que solo permiten cargar ciertos tipos de archivos. Al cambiar el nombre de 83152553.exe a something.jpg (y cambiar su nombre cuando el exploit descarga la carga útil), el usuario malintencionado puede cargar el archivo, por ejemplo, en un sitio web de alojamiento de imágenes.
Dado que el archivo está deshabilitado, no puedo responder a tu pregunta acerca de si se trata de Cryptowall o no. Este es un simple script de descarga de carga útil que descarga una carga útil arbitraria de un sitio web, la carga útil puede ser cualquier cosa, desde un registrador de teclas personalizado hasta un simple gusano de propagación de redes, hasta un software aleatorio. Cualquier cosa. La única forma de saberlo es cargar el archivo rep.jpg / 83152553.exe en Virustotal si aún tiene el archivo.
