CRYPTOWALL: NUEVA VARIANTE DE RANSOMWARE CODIFICADOR DE FICHEROS

CryptoWall es un MALWARE informático de la familia de los ransomware (pago por rescate) que codifica los ficheros de datos

El preanalisis de virustotal ofrece este informe:

MD5 2397a7bff53c8d118db45cdefd00a393
SHA1 a38d0e94e64d9d75459896ba2541536d83d7404a
Tamaño del fichero 156.0 KB ( 159744 bytes )
SHA256: e5e5d0639c55f5d44b297cda37edaf6d652558a7f53edc6ad3f60f5c73265f2f
Nombre: 209089072.cryptowall (1).exe
Detecciones: 38 / 52
Fecha de análisis: 2014-05-11 17:40:58 UTC ( hace 1 semana )

0 2

Antivirus Resultado Actualización
AVG Luhe.Fiha.A 20140511
Ad-Aware Trojan.GenericKD.1599072 20140511
Agnitum Backdoor.Androm!Fb/xGm9eqeU 20140511
AntiVir TR/Dropper.VB.11415 20140511
Avast Win32:Zbot-TNS [Trj] 20140511
Baidu-International Backdoor.Win32.Androm.AblC 20140511
BitDefender Trojan.GenericKD.1599072 20140511
Bkav HW32.CDB.Cd12 20140509
CAT-QuickHeal Worm.Gamarue.r3 20140510
CMC Heur.Win32.Veebee.1!O 20140506
Commtouch W32/Trojan.XPUS-2398 20140511
Comodo UnclassifiedMalware 20140511
DrWeb Win32.HLLM.MyDoom.1432 20140511
ESET-NOD32 a variant of Win32/Injector.BCCG 20140511
Emsisoft Trojan.GenericKD.1599072 (B) 20140511
F-Secure Trojan.GenericKD.1599072 20140511
Fortinet W32/VB.ALO!tr 20140511
GData Trojan.GenericKD.1599072 20140511
Ikarus Backdoor.Win32.Androm 20140511
K7AntiVirus Trojan ( 0049673f1 ) 20140509
K7GW Trojan ( 0049673f1 ) 20140509
Kaspersky Backdoor.Win32.Androm.dpmq 20140511
Malwarebytes Trojan.Zbot 20140511
McAfee PWSZbot-FLW!2397A7BFF53C 20140511
McAfee-GW-Edition PWSZbot-FLW!2397A7BFF53C 20140511
MicroWorld-eScan Trojan.GenericKD.1599072 20140511
Microsoft Worm:Win32/Gamarue.I 20140511
Norman Injector.GEXW 20140511
Panda Generic Malware 20140511
Qihoo-360 Win32/Trojan.Multi.daf 20140511
Rising PE:Malware.XPACK-HIE/Heur!1.9C48 20140507
Sophos Mal/VB-ALO 20140511
Symantec Trojan.Zbot!gen74 20140511
TrendMicro TROJ_GEN.R02SC0FCC14 20140511
TrendMicro-HouseCall TROJ_GEN.R02SC0FCC14 20140511
VBA32 Backdoor.Androm.dpmq 20140510
VIPRE Trojan.Win32.Zbot.pj (v) 20140511
nProtect Trojan.GenericKD.1599072 20140511

Este malware infecta a casi todas las versiones de Windows actuales
El Ransomware CryptoWall escanea el PC buscando archivos específicos y los codifica para que sean inutilizables. A continuación, el malware ofrecerá un programa llamado “CryptoWall Decrypter” que puede servir para devolver la normalidad a todos los archivos codificados.

Cuando se ejecuta el CryptoWall, instala los archivos malware en el sistema y modifica el registro para que el código malicioso se ejecute en cada arranque de Windows. A continuación, el virus codifica los archivos de datos del ordenador, como imágenes, documentos, vídeos y audios.

CryptoWall reemplaza los primeros 512 bytes con su código, por lo que pueden parecer cifrados o dañados. Los programas vinculados con ellos no pueden abrir ni ejecutar dichos archivos y en la pantalla aparecerá un mensaje de ERROR. En todas las carpetas con archivos codificados, crea un fichero HowDecrypt.txt y una imagen HowDecrypt.gif, que son las instrucciones sobre cómo las víctimas pueden adquirir la utilidad de decodificación.

He aquí un extracto del mensaje del CryptoWall:

“Los archivos han sido cifrados.
Para obtener la clave para descifrar los archivos, tiene que pagar 500 USD/EUR. Si el pago no se realiza antes de (fecha y hora límite) el costo de decodificación de los archivos aumentará al doble, y será de 1000 USD/EUR “.

Está claro que el CryptoWall es un malware que quiere robar dinero de los usuarios afectados. Si este tipo de malware provoca ERROR en el PC, ofreciendo las instrucciones que se ofrecen a continuación:

toWall’

Arrancar en MODO SEGURO CON FUNCIONES DE RED:
en Windows XP, Windows Vista, y Windows 7

a) Antes de que Windows comience a cargar, presione repetidamente F8 en el teclado.
b) Se mostrará el menú de Opciones de arranque. Seleccionar MODO SEGURO CON FUNCIONES DE RED

Y en windows 8:

a) Antes de que Windows comience a cargar, pulsar Shift y F8 en su teclado.
b) En la interfaz de recuperación, haga clic en ‘Ver opciones avanzadas de reparación’ .
c) A continuación, haga clic en Solucionar problemas de opción.
d) A continuación, seleccione Opciones avanzadas en la lista.
e) Por último, elija Configuración de inicio de Windows y haga clic en Reiniciar . Cuando se reinicie Windows, aparecerán en la pantalla las Opciones de arranque avanzadas
f) Seleccione el modo seguro con funciones de red desde el menú de opciones.

Tras ello lanzar el antivirus que tenga instalado y actualizado.

ES MUY IMPORTANTE QUE SE CONFIGURE EN LA CONSOLA DEL VIRUSSCAN LA DETECCION HEURISTICA A NIVEL ALTO, y se mantenga asi en el futuro, para evitar la entrada de nuevos malware aun desconocidos

Una vez eliminado el virus en cuestión, se pueden restaurar los ficheros codificados aprovechando el SHADOW COPY que disponen los sistemas Windows 7, Windows 8, y 8.1, igual que haciamos para anteriores codificaciones (virus CRYPTORBIT, CRYPTODEFENSE, etc)  En los servidores con Windows server 2003, 2008, 2011, solo podrá hacerse si se tiene activada la funcion del SHADOW COPY, que por defecto viene desactivada.

 Tambien puede probarse el SHADOWEXPLORER.EXE, que puede descargarse de http://www.shadowexplorer.com/downloads.html

Pueden verse otras maneras de eliminar dicho virus en

towall

Por último recordar la importancia de mantener las copias de seguridad al día y fuera de los equipos, para que no sean tambien estas afectadas…

saludos

ms, 19-5-2014