Otra Información del RANSOMWARE DONE, que cifra ficheros del servidor, encontrada en Internet

Visto este Tema en portugués (De Brasil) que habla del RANSOMWARE DONE, aunque es posterior a la primicia informativa nuestra:

tografa-os-arquivos-no-disco-rigido-do-servidor-de-arquivos/
Hemos traducido del portugés lo que indican en dicha noticia, aunque parece extraida de la nuestra:

______________

Consejos y curiosidades sobre nuevo ransomware que cifra los archivos en el disco duro del servidor de archivos.
Recibidos nuevos archivos cifrados por ransomware (PAGO POR RESCATE) que después de cifrar los archivos en el servidor, crea un REPAIR.TXT que se lanza en el inicio y visualiza el siguiente texto:
“Si estás leyendo esto, significa que  archivos importantes (fotos, vídeos, documentos, archivos, bases de datos, copias de seguridad, etc.) han sido bloqueado con cifrado militar. Nadie puede ayudarle a restaurar los archivos sin nuestro decodificador. Si desea recuperar los archivos, enviar por e-mail a tormail.org”>rmyfile@tormail.org” el fichero “repair.txt” y 1-2 archivos cifrados de menos de 1 MB. Después de verificarlo, usted recibirá los archivos descifrados y nuestras condiciones de como se puede obtener al decodificador siguiendo las instrucciones para transferir el pago. ‘

No hay datos en Internet sobre esto, porque otros ofrecen decodificación de archivos cifrados, no el decodificador, como en este caso, pero sin duda pronto habrán noticias.

analizadas archivos codificados de todo tipo, se observa que es una codificación compleja que no alcanza todo el archivo, y al final del fichero cifrado hay añadidos 12 bytes que posiblemente sean el tamaño de codificación y datos del mismo,, como hemos visto que los últimos 4 bytes dependen de éllo.

Este Ransomware recuerda que otro malware, el XDOCCRYPT o FAKEDOC, también cifraba los archivos del servidor de archivos, aunque en este caso sólo fueron del Office, que los convirtía en ejecutables, mientras que en la actualidad son archivos de Word, de fotos, y sólo los cifra  y añade .DONE al final de cada archivo cifrado, dejandolos inservibles,por lo que la infeccion puede residir en los terminales, mientras que en los servidores puede ser que solo haya los ficheros cifrados, por lo que la infeccion se deberá buscar en todas partes, pero centrando la atencion en los terminales, aunque tambien puede ser que despues de “hacer la faena” se haya eliminado, quedando unicamente su efecto de ficheros cifrados en el servidor, lo cual habrá que ver si los nuevos ficheros creados siguen almacenandose cifrados en el servidor, o no, en cuyo caso sabremos si determinado terminal en cuestión sigue infectado o no.

Se advierte acerca de este nuevo malware, para que se extremen las medidas de cuidado y no se ejecuten ficheros anexados en mails no solicitados, ni se pulse en sus link o en sus imagenes, para evitar al maximo la infeccion de cualquier tipo de malware que llegue por dicho medio, que es el que se supone que utiliza dicho malware, como la mayoria que no entran por acceso a webs infectadas o ejecucion de ficheros descargados de internet.

Tan pronto como haya mas noticias del mismo, las comunicaremos

saludos

______________
Pues parece extraido de nuestra noticia inicial al respecto:  https://blog.satinfo.es/?p=33397
por lo que no sabemos si han sido afectados por el mismo o simplemente han traducido el nuestro a su idioma como informacion para sus lectores,

En cualquier caso, es la unica, aparte de las nuestras y de blogs que hacen referencia a ella, lo cual no deja de ser curioso que nosotros ya tengamos tres diferentes usuarios afectados y nadie mas hable de ello…

Seguiremos informado.

saludos

ms, 26-11-2012