NUEVA VARIANTE DE CRYPTORBIT, QUE AHORA SE PRESENTA COMO CRYPTODEFENSE
Descargado en la monitorizacion de un downloader BUBLIK, nos ha aparecido una nueva variante de ransomware codificador de ficheros, muy parecido al CRYPTORBIT, aunque no presenta la misma imagen tipica del candado, sino que en su lugar aparece una pantalla de un HTML, con el texto parecido al típico HOWDECRYP.TXT , ambos ficheros en las carpetas afectadas.
El texto de dicho fichero txt es el siguiente:
All files including videos, photos and documents on your computer are encrypted by CryptoDefense Software.
Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key.
The single copy of the private key, which will allow you to decrypt the files, located on a secret server on the Internet;
the server will destroy the key after a month. After that, nobody and never will be able to restore files.
In order to decrypt the files, open your personal page on the site tor.com/198s and follow the instructions.
If tor.com/198s is not opening, please follow the steps below:
1. You must download and install this browser torbrowser.html.en”>http://www.torproject.org/projects/torbrowser.html.en
2. After installation, run the browser and enter the address: rj2bocejarqnpuhm.onion/198s
3. Follow the instructions on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.
IMPORTANT INFORMATION:
Your Personal PAGE: tor.com/198s
Your Personal PAGE(using TorBrowser): rj2bocejarqnpuhm.onion/198s
Your Personal CODE(if you open site directly): 198s
Como se ve, es muy parecido al de las variantes conocidas del CRYPTORBIT, aunque en ellas se identificaba como tal y ahora lo hace como CRYPTODEFENSE …
A partir del ELISTARA 29.72 de hoy pasamos a controlar esta nueva variante de malware.
El preanalisis de virustotal de hace 9 horas ofrecía 3 antivirus que lo detectaban, luego, hace un par de horas, cuando hemos empezado a monitorizarlo eran ya 6 los que lo detectaban, y ahora son ya 13, lo cual indica la utilidad del VIRUSTOTAL y de los que subimos muestras a dicha web, para que las empresas antivirus puedan controlarlas si procede.
Actualmente el virustotal ofrece este informe:
SHA256: 7ed58ef4fd3dc4efaea9e595614553445afb055c0c675b692f12a5629251b040
Nombre: ritma.exe
Detecciones: 13 / 51
Fecha de análisis: 2014-04-03 09:09:19 UTC ( hace 0 minutos )
0 1 Análisis Detalles Información adicional Comentarios Votos Información de comportamiento
Antivirus Resultado Actualización
Ad-Aware Gen:Variant.Graftor.137144 20140403
Avast Win32:Malware-gen 20140403
Baidu-International Trojan.Win32.Injector.BBCH 20140403
BitDefender Gen:Variant.Graftor.137144 20140403
DrWeb Trojan.Inject1.40511 20140403
ESET-NOD32 a variant of Win32/Injector.BBCH 20140403
Emsisoft Gen:Variant.Graftor.137144 (B) 20140403
GData Gen:Variant.Graftor.137144 20140403
McAfee Artemis!85F830C85CC8 20140403
McAfee-GW-Edition Artemis!85F830C85CC8 20140403
MicroWorld-eScan Gen:Variant.Graftor.137144 20140403
Qihoo-360 Win32/Trojan.Multi.daf 20140403
Sophos Mal/Inject-EQ 20140403
Dicha version del ELISTARA 29.72 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
NOTA: VER LA SOLUCION QUE APORTABAMOS HACE POCOS DIAS SOBRE LA RECUPERACION DE DICHOS FICHEROS ANTES DE CIFRAR EN :
torbit/
saludos
ms, 3-4-2014
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.