PRIMICIA INFORMATIVA SOBRE NUEVO RANSOMWARE QUE CIFRA LOS FICHEROS DEL DISCO DURO DEL SERVIDOR DE FICHEROS

Nos han llegado ficheros cifrados por nuevo RANSOMWARE (PAGO POR RESCATE) que tras cifrar los ficheros del servidor, instala en el arranque la visualizacion de un fichero REPAIR.TXT que se lanza desde la carpeta de inicio, indicando:

“If you reading this,it means your`s important files(photos,videos, documents,archives,bases,backups, etc.) are locked with military cifer.
Nobody can help you restore  files without ourdecoder.
If you want recover files,send e-mail to the tormail.org”>repairmyfile@tormail.org WITH “how to repair.txt” and 1-2 encrypted files less than 1MB . After checking you will receive the decrypted files and our conditions how you’ll get the decoder. Follow the instructions to transfer payment.”

Aun no hay datos en internet sobre el particular, pues lo que hay similar ofrece la decodificación de archivos cifrados, no el decodificador como en este caso, pero seguramente en breve empezarán a salir noticias al respecto.

Analizados los ficheros codificados, de todo tipo, hemos observado que se trata de una codificacion compleja que no alcanza la totalidad de dichos ficheros, y que al final de los Cifrados hay 12 bytes añadidos diferentes para cada uno, posiblemente de datos de la codificacion y del tamaño del fichero, ya que hemos visto que los ultimos 4 bytes dependen de ello.

Se recuerda que otro ransomware cifrador, el FAKEDOC o XDOCCRYPT, tambien cifraba los ficheros del servidor de ficheros, si bien en aquel caso solo eran los de Office, los cuales convertía en ejecutables, mientras que en este son, desde ficheros de word hasta fotos, y solo los cifra y añaden .DONE al final de cada fichero cifrado, dejandolos inusables, por lo que la infeccion puede residir en los terminales, mientras que en los servidores puede ser que solo haya los ficheros cifrados, por lo que la infeccion se deberá buscar en todas partes, pero centrando la atencion en los terminales, aunque tambien puede ser que despues de “hacer la faena” se haya eliminado, quedando unicamente su efecto de ficheros cifrados en el servidor, lo cual habrá que ver si los nuevos ficheros creados siguen almacenandose cifrados en el servidor, o no, en cuyo caso sabremos si determinado terminal en cuestión sigue infectado o no.

Avisamos al respecto de este nuevo malware, para que se extremen las medidas de cuidado y no se ejecuten ficheros anexados en mails no solicitados, ni se pulse en sus link o en sus imagenes, para evitar al maximo la infeccion de cualquier tipo de malware que llegue por dicho medio, que es el que se supone que utiliza dicho malware, como la mayoria que no entran por acceso a webs infectadas o ejecucion de ficheros descargados de internet.

Tan pronto como haya mas noticias del mismo, las comunicaremos

saludos

ms, 21-11-2012