PRIMICIA de nuevo RANSOMWARE que presenta en pantalla la bandera española y pide 100 $ para rescate

Es un RANSOMWARE que presenta en pantalla la bandera española y el texto:
“Las operaciones sobre las actividades ilegales se detectaron en el
ordenador”

y pide comprar un “bonus” de 100 € para recibir la clave.

De momento solo hemos recibido del usuario el log del SPROCES, en el que vemos sospechoso un fichero de nombre mahmud.exe que se lanza desde el registro en lugar del EXPLORER.EXE

Por ahora lo solucionamos con nuestra utilidad ELISHELL,EXE, y tan pronto recibamos muestra de dicho fichero, implementaremos su control, eliminacion y restauracion de claves.

Para poder arrancar con este bicho en el ordenador, hacerlo en MODO SEGURO CON SOLO SIMBOLO DE SISTEMA, y asi poder lanzar nuestras utilidades igualmente.

Si  no se encontrara dicho fichero, puede que vaya cambiando en cada instalacion, en tal caso lanzar el SPROCES, pulsar en SALIR y enviarnos el log resultante para analizarlo y ver las posibles variaciones resspecto al inicial.

Lo informamos como primicia por si otro usuario se encuentra en esta circunstancia, que sepa a qué atenerse.

saludos

ms, 24-11-2011

_____

ANEXO:

llegado el fichero solicitado, el preanalisis con virustotal ofrece el siguiente informe:

File name: mahmud.exe
Submission date: 2011-11-24 06:30:49 (UTC)
Current status: finished
Result: 5 /43 (11.6%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.11.23.00 2011.11.23 –
AntiVir 7.11.18.25 2011.11.24 –
Antiy-AVL 2.0.3.7 2011.11.24 –
Avast 6.0.1289.0 2011.11.23 –
AVG 10.0.0.1190 2011.11.24 –
BitDefender 7.2 2011.11.24 –
ByteHero 1.0.0.1 2011.11.14 –
CAT-QuickHeal 12.00 2011.11.22 –
ClamAV 0.97.3.0 2011.11.24 –
Commtouch 5.3.2.6 2011.11.24 –
Comodo 10786 2011.11.24 –
DrWeb 5.0.2.03300 2011.11.24 Trojan.Winlock.4018
Emsisoft 5.1.0.11 2011.11.24 –
eSafe 7.0.17.0 2011.11.24 –
eTrust-Vet 37.0.9584 2011.11.23 –
F-Prot 4.6.5.141 2011.11.23 –
F-Secure 9.0.16440.0 2011.11.24 –
Fortinet 4.3.370.0 2011.11.23 –
GData 22.286/22.526 2011.11.24 –
Ikarus T3.1.1.109.0 2011.11.24 –
Jiangmin 13.0.900 2011.11.23 –
K7AntiVirus 9.119.5525 2011.11.23 –
Kaspersky 9.0.0.837 2011.11.23 UDS:DangerousObject.Multi.Generic
McAfee 5.400.0.1158 2011.11.24 Artemis!1838438AB5A3
McAfee-GW-Edition 2010.1D 2011.11.23 Artemis!1838438AB5A3
Microsoft 1.7801 2011.11.24 –
NOD32 6654 2011.11.24 –
Norman 6.07.13 2011.11.23 –
nProtect 2011-11-23.01 2011.11.23 –
Panda 10.0.3.5 2011.11.23 Suspicious file
PCTools 8.0.0.5 2011.11.24 –
Prevx 3.0 2011.11.24 –
Rising 23.85.03.01 2011.11.24 –
Sophos 4.71.0 2011.11.24 –
SUPERAntiSpyware 4.40.0.1006 2011.11.24 –
Symantec 20111.2.0.82 2011.11.24 –
TheHacker 6.7.0.1.347 2011.11.24 –
TrendMicro 9.500.0.1008 2011.11.24 –
TrendMicro-HouseCall 9.500.0.1008 2011.11.24 –
VBA32 3.12.16.4 2011.11.23 –
VIPRE 11133 2011.11.24 –
ViRobot 2011.11.24.4790 2011.11.24 –
VirusBuster 14.1.81.1 2011.11.23 –
Additional informationShow all
MD5   : 1838438ab5a37f0d0a09a368e5821a86
SHA1  : 0a011e295c6f9154cc2203d943ab1fca1cb1aa61
File size : 178176 bytes
publisher….: Agnitum Ltd.
copyright….: Carrie Filed Gloom Stuns 2003-2009
product……: Movie Quiz Crisp Slurp
description..: Repel Twa Get Ajax
original name: Taxi.exe
internal name: Quirk Hymnal Self Cite Porn Crony
file version.: 8.4

Con la version de hoy del ELISTARA 24.34 pasamos a controlarlo como RANSOM WINLOCK.

Dicha versión del ELISTARA 24.34 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy.

y al ejecutarlo muestra:

saludos

ms, 24-11-2011