NUEVA VARIANTE DE CRYPTORBIT, QUE AHORA SE PRESENTA COMO CRYPTODEFENSE

Publicado el 3 abril 2014 ¬ 11:33 amh.mscComentarios desactivados en NUEVA VARIANTE DE CRYPTORBIT, QUE AHORA SE PRESENTA COMO CRYPTODEFENSE

Descargado en la monitorizacion de un downloader BUBLIK, nos ha aparecido una nueva variante de ransomware codificador de ficheros, muy parecido al CRYPTORBIT, aunque no presenta la misma imagen tipica del candado, sino que en su lugar aparece una pantalla de un HTML, con el texto parecido al típico HOWDECRYP.TXT , ambos ficheros en las carpetas afectadas.

El texto de dicho fichero txt es el siguiente:

 

All files including videos, photos and documents on your computer are encrypted by CryptoDefense Software.

Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key.

The single copy of the private key, which will allow you to decrypt the files, located on a secret server on the Internet;
the server will destroy the key after a month. After that, nobody and never will be able to restore files.

In order to decrypt the files, open your personal page on the site tor.com/198s and follow the instructions.

If tor.com/198s is not opening, please follow the steps below:

1. You must download and install this browser torbrowser.html.en”>http://www.torproject.org/projects/torbrowser.html.en
2. After installation, run the browser and enter the address: rj2bocejarqnpuhm.onion/198s
3. Follow the instructions on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.

IMPORTANT INFORMATION:

Your Personal PAGE: tor.com/198s
Your Personal PAGE(using TorBrowser): rj2bocejarqnpuhm.onion/198s
Your Personal CODE(if you open site directly): 198s

 

Como se ve, es muy parecido al de las variantes conocidas del CRYPTORBIT, aunque en ellas se identificaba como tal y ahora lo hace como CRYPTODEFENSE …

A partir del ELISTARA 29.72 de hoy pasamos a controlar esta nueva variante de malware.

El preanalisis de virustotal de hace 9 horas ofrecía 3 antivirus que lo detectaban, luego, hace un par de horas, cuando hemos empezado a monitorizarlo eran ya 6 los que lo detectaban, y ahora son ya 13, lo cual indica la utilidad del VIRUSTOTAL y de los que subimos muestras a dicha web, para que las empresas antivirus puedan controlarlas si procede.

Actualmente el virustotal ofrece este informe:
SHA256: 7ed58ef4fd3dc4efaea9e595614553445afb055c0c675b692f12a5629251b040
Nombre: ritma.exe
Detecciones: 13 / 51
Fecha de análisis: 2014-04-03 09:09:19 UTC ( hace 0 minutos )

0 1 Análisis Detalles Información adicional Comentarios Votos Información de comportamiento
Antivirus  Resultado  Actualización
Ad-Aware  Gen:Variant.Graftor.137144  20140403
Avast  Win32:Malware-gen  20140403
Baidu-International  Trojan.Win32.Injector.BBCH  20140403
BitDefender  Gen:Variant.Graftor.137144  20140403
DrWeb  Trojan.Inject1.40511  20140403
ESET-NOD32  a variant of Win32/Injector.BBCH  20140403
Emsisoft  Gen:Variant.Graftor.137144 (B)  20140403
GData  Gen:Variant.Graftor.137144  20140403
McAfee  Artemis!85F830C85CC8  20140403
McAfee-GW-Edition  Artemis!85F830C85CC8  20140403
MicroWorld-eScan  Gen:Variant.Graftor.137144  20140403
Qihoo-360  Win32/Trojan.Multi.daf  20140403
Sophos  Mal/Inject-EQ  20140403
Dicha version del ELISTARA 29.72 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
NOTA:  VER LA SOLUCION QUE APORTABAMOS HACE POCOS DIAS SOBRE LA RECUPERACION DE DICHOS FICHEROS ANTES DE CIFRAR EN :

torbit/
saludos

ms, 3-4-2014

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies