Mas usuarios afectados por el RANSOMWARE que cifra ficheros y les añade .DONE a su extension.

Desde Motril (Granada) y  desde Santiago de Compostela (Galicia) nos llegan nuevas muestras de ficheros cifrados con el RANSOMWARE DONE, por decirle de alguna manera.

Ademas del que nos comunicaron desde Barcelona, segun ya indicabamos en las noticias del día 20, ahora tenemos otros casos al Sur y Norte de nuestra peninsula, lo cual confirma que no se trata de un atentado puntual a un usuario sino de una propagación por internet.

Y dado que ya disponemos de diferentes ficheros  “how to repair.txt” correspondiente a diferentes infecciones, podemos ver que, aparte del texto en el que el hacker indica como proceder para pedirle el decodificador, pagando el rescate, en cada uno de ellos se añaden cuatro líneas de datos que entendemos es una clave publica, diferente para cada codificación_
“If you reading this,it means your`s important files(photos,videos, documents,archives,bases, backups, etc.) are locked with military cifer.
Nobody can help you restore  files without our decoder.
If you want recover files,
send e-mail to the tormail.org”>repairmyfile@tormail.org WITH “how to repair.txt” and 1-2 encrypted files less than 1MB . After checking you will receive the decrypted files and our conditions how you’ll get the decoder . Follow the instructions to transfer payment.

====================
C403EFD112A605FAD4EC2B69ADC44EDF5549DB7D6D838D654C0FB9E23C4E29AA
E145D1A3883BE1D45432310FB094F1E90A1D2E1F0B81EF104AB0922FDAC683D0
0CD8F2C426D6460B6DA1F2ECB1F626AF08AEB104E50C002DE4C0E3AA3F4946B1
0EA0435C2CECD814CD87EAAA607970D039C9368E1247BA8C79BDEAB8E8C9E867
15757E7F74F4E256CE9047BE817CE034DC69FD1BD3DA3D7205D15B080B92003F
====================”
________
y el anterior de Barcelona, del pasado dia 20 era:

“If you reading this,it means your`s important files(photos,videos, documents,archives,bases, backups, etc.) are locked with military cifer.
Nobody can help you restore  files without our decoder.
If you want recover files,
send e-mail to the tormail.org”>repairmyfile@tormail.org WITH “how to repair.txt” and 1-2 encrypted files less than 1MB . After checking you will receive the decrypted files and our conditions how you’ll get the decoder . Follow the instructions to transfer payment.

====================
FCBD052DC6104B17F88F1E925654B7816DCF12F40DBD0FE9D5F1D717C4B08D9C
9174E23127A5CC44209DC7BA8251F2EFA9CBC0D356F32E41B65F5C3CF482E120
46A06024D661997E8F265AAF9CB7204FF84EA9B39F70E710E40051166B14A4CA
73B0A1A18EFBE89D620CD933F96927469D2427F05103C257FDDC6A4B93562E8E
15757E7F746A448D95DC3268C31535A548A663CDA37C232117C29FD339EDEF66
====================”
Con lo que vemos que la clave publica que adjunta, varia en cada caso, y el hacker, que debe disponer de la clave privada, combina ambas para obrar en consecuencia y ofrecer el decodificador exclusivo para cada una de los usuarios afectados.

Es inutil sin dicha clave privada tratar de crear un decodificador, por lo que de momento solo cabe recuperar los ficheros desde backup o copia de seguridad, o secundar las exigencias del hacker.

Independientemente de ello, nuestro otro interés está en cazar y eliminar el malware que lo causa, por lo que hemos pedido log del SPROCES tanto del servidor como de la máquina con la que nos indica este último usuario, que trató de recuperar ficheros y los antiguos borrados tambien, una vez recuperados, los cifraba y añadía la extension .DONE, por lo que entendemos que el virus aun estaba residente, y no desaparece una vez hecho el cifrado, como cabía pensar que podía hacer…

Seguiremos informando sobre lo que podamos hacer al respecto, asi como de la información que veamos en internet sobre el Tema, lo cual hasta el momento ha sido nula.

Por supuesto que en estos casos en general, se aconseja a los usuarios afectados que den parte al  Grupo de Delitos Telemáticos para que trataran de averiguar el autor del delito y obraran en consecuencia.

saludos

ms, 26-11-2012