NOVEDADES SOBRE EL VIRUS QUE CIFRA FICHEROS CON EL CRYPTOLOCKER

De un cliente que ha sido afectado por dicho virus, cifrando los ficheros de datos del servidor, hemos recibido dos ficheros ZIP anexados en los mails causantes de dicho estropicio.

Si bien una vez ejecutado el malware, empieza el proceso de cifrado con RSA 2048 de los ficheros de datos indicados, de lo que se trata es de eliminar la fuente de dicho malware, para que no repita dicha acción si se restauran los ficheros desde la copia de seguridad, para lo que pasamos a implementar su control y eliminacion a partir del ELISTARA 27.14 de hoy

Aparte, aunque los antivirus lo conozcan, las actualizaciones del malware hacen que nuevas variantes no conocidas, pasen desapercibidas, por lo cual recomendamos configurar el nivel heuristico del VirusScan de McAfee a nivel Alto, para detectar en lo posible dichas nuevas variantes de tan fatídico malware !

Recomendamos leer en las NOTICIAS de nuestra web la información al respecto, que ya enviamos por mail a los apuntados a dicho servicio, pero que conviene refrescar, especialmente en este caso:

http://www.satinfo.es/noticies/2013/de-vueltas-con-el-cryptolocker/

Los mails en los que se han recibido dichos ficheros presentaban esta forma:

Dear Member

Here is a report on your early 2013 Federal Tax return report. Kindly download the attachment to view your report and start filling for 2013 return as early as second week of December.

Thanks

Internal Revenue Service
915 Second Avenue, MS W180
Seattle, WA 98174-0041
http://www.irs.gov/
____________

 

y en el segundo mail esta otra:
Hello xavier.marti,

I attached the December Invoice that contains the Property Tax and the other document showing the details mentioned below.

I am at your disposal for any further question.
Waiting for your instructions concerning the document attached.

Valentine Schultz
____________
Los ficheros anexados, una vez desempaquetados, resultan ser ficheros con doble extension, .PDF.EXE, el primero con icono de Acrobat y el segundo con el icono de un llavero con llaves:
Early2013TaxReturnReport_983456948574980572398456324965984573984509324.pdf.exe

USBank – December 2013_ID39485394562093456309847589346598237598320471237481923427583450.pdf.exe

 

Los preanalisis de virustotal de dichos ficheros, ofrecen estos informes:
MD5 fe20a23bec91b7ec1e301b571ce91100
SHA1 128c404b4dde28281bee464c8676888f4d351875
File size 100.0 KB ( 102400 bytes )
SHA256: 778814211d21f59ac28d32b722404a177ff67ebb9024394ed699f9abc0ce6305
Nombre: Early2013TaxReturnReport_9834569485749805723984563249659845739845…
Detecciones: 37 / 48
Fecha de análisis: 2014-01-14 16:28:06 UTC ( hace 0 minutos )

0 10
Antivirus Resultado Actualización
AVG Zbot.EVJ 20140114
Ad-Aware Trojan.GenericKD.1493384 20140114
AntiVir TR/Dldr.Fareit.C 20140114
Antiy-AVL Trojan/Win32.Fareit 20140114
Avast Win32:Malware-gen 20140114
Baidu-International Trojan.Win32.InfoStealer.am 20131213
BitDefender Trojan.GenericKD.1493384 20140114
Bkav W32.Clod540.Trojan.be24 20140114
CAT-QuickHeal TrojanPWS.Fareit 20140114
Commtouch W32/Trojan.KHPU-6775 20140114
DrWeb Trojan.DownLoader9.22851 20140114
ESET-NOD32 Win32/PSW.Fareit.A 20140114
Emsisoft Trojan-PSW.Win32.Fareit (A) 20140114
F-Prot W32/Trojan3.HBO 20140114
F-Secure Trojan.GenericKD.1493384 20140114
Fortinet W32/Fareit.AMZS!tr 20140113
GData Trojan.GenericKD.1493384 20140114
Ikarus Trojan.Agent 20140114
K7AntiVirus Password-Stealer ( 003bbfec1 ) 20140114
K7GW Password-Stealer ( 003bbfec1 ) 20140114
Kaspersky Trojan-PSW.Win32.Fareit.amzs 20140114
Malwarebytes Trojan.FakeBankDoc 20140114
McAfee Generic.rm 20140114
McAfee-GW-Edition Generic.rm 20140114
MicroWorld-eScan Trojan.GenericKD.1493384 20140114
Microsoft PWS:Win32/Fareit 20140114
Norman Fareit.HA 20140114
Panda Trj/Zbot.Q 20140114
Sophos Troj/Agent-AFMX 20140114
Symantec Trojan.Zbot 20140114
TotalDefense Win32/Fareit.WTRGObB 20140114
TrendMicro TSPY_FAREIT.AUN 20140114
TrendMicro-HouseCall TSPY_FAREIT.AUN 20140114
VBA32 TrojanPSW.Fareit 20140114
VIPRE Trojan.Win32.Generic!BT 20140114
ViRobot Dropper.Agent.102400.R 20140114
nProtect Trojan.GenericKD.1493384 20140114
y el otro:

 

MD5 2089eac526883c98d67d399449b461db
SHA1 5f3607fd72b36152ed80c3e2f3c4d569f307a65c
File size 97.8 KB ( 100153 bytes )
SHA256: a7a62a86845b1f0038ef0d3225fdd27de36ea205e0fa335780cc05be523ffe1f
Nombre: USBank – December 2013_ID3948539456209345630984758934659823759832…
Detecciones: 37 / 49
Fecha de análisis: 2014-01-14 16:30:14 UTC ( hace 0 minutos )

0 15
Antivirus Resultado Actualización
AVG Zbot.EWA 20140114
Ad-Aware Trojan.Agent.BBIW 20140114
AntiVir TR/Agent.cada.24594 20140114
Avast Win32:Malware-gen 20140114
Baidu-International Trojan.Win32.InfoStealer.aCla 20131213
BitDefender Trojan.Agent.BBIW 20140114
Bkav HW32.CDB.421a 20140114
CAT-QuickHeal TrojanPWS.Fareit 20140114
Commtouch W32/Trojan.HZOB-1087 20140114
Comodo TrojWare.Win32.Injector.~AVAF 20140114
DrWeb Trojan.DownLoader9.22851 20140114
ESET-NOD32 Win32/PSW.Fareit.A 20140114
Emsisoft Trojan-PSW.Win32.Fareit (A) 20140114
F-Prot W32/Trojan5.JHN 20140114
F-Secure Trojan.Agent.BBIW 20140114
Fortinet W32/Fareit.ANAQ!tr 20140113
GData Trojan.Agent.BBIW 20140114
Ikarus Trojan-Spy.Zbot 20140114
K7AntiVirus Trojan ( 00071a9a1 ) 20140114
K7GW Trojan ( 00071a9a1 ) 20140114
Kaspersky Trojan-PSW.Win32.Fareit.anaq 20140114
Malwarebytes Trojan.Agent.ED 20140114
McAfee Generic BackDoor.u 20140114
McAfee-GW-Edition Generic BackDoor.u 20140114
MicroWorld-eScan Trojan.Agent.BBIW 20140114
Microsoft PWS:Win32/Fareit 20140114
NANO-Antivirus Trojan.Win32.Gimemo.csmrix 20140114
Norman Injector.FVXM 20140114
Panda Trj/Zbot.Q 20140114
Sophos Troj/Agent-AFNU 20140114
Symantec Trojan.Zbot 20140114
TotalDefense Win32/Fareit.XGVefYD 20140114
TrendMicro TSPY_FAREIT.AVE 20140114
TrendMicro-HouseCall TSPY_FAREIT.AVE 20140114
VIPRE Win32.Malware!Drop 20140114
ViRobot Trojan.Win32.U.Injector.100153 20140114
nProtect Trojan-PWS/W32.Fareit.100153 20140114

 

Monitorizando dichos ficheros, la ejecucion del primero genera dos EXES en fichero temporal y finalmente desaparecen, dejando una DLL que tambien pasamos a controlar como TROJAN SEFNIT.B

Dichos EXE, aunque desaparecen en la monitorizacion, los añadimos en el ELISTARA como Downloader TEPFER / FAREIT, ya que asi lo llaman algunos AV.

 

Como herencia de dicho proceso queda residente una DLL, lanzada desde:

O4 – HKCU\..\Run: [Odics] regsvr32.exe “C:\Documents and Settings\Sergio\Configuración local\Datos de programa\Odics\SecurityNetHelper.dll”
El preanalisis de dicha DLL ofrece este informe:
SHA256: f1c77c867368907c23bade3ba02bbf882afd39ab66ef4fefc5ed377d777af0aa
Nombre: SecurityNetHelper.dll
Detecciones: 24 / 48
Fecha de análisis: 2014-01-14 16:39:34 UTC ( hace 2 minutos )
MD5 c690acf5a9acc69c7fa6e490ec47c337
SHA1 3d967f271671ee907b39021033012661f173915b
File size 22.0 KB ( 22528 bytes )
0 1

 

Antivirus Resultado Actualización
AVG Crypt2.CHDC 20140114
Ad-Aware Trojan.GenericKD.1490642 20140114
AntiVir TR/Sefnit.bghu 20140114
Avast Win32:Malware-gen 20140114
Baidu-International Trojan.Win32.Sefnit.CV 20131213
BitDefender Trojan.GenericKD.1490642 20140114
Comodo UnclassifiedMalware 20140114
ESET-NOD32 a variant of Win32/Sefnit.CV 20140114
Emsisoft Trojan.GenericKD.1490642 (B) 20140114
F-Secure Trojan.GenericKD.1490642 20140114
Fortinet W32/Sefnit.CV!tr 20140113
GData Trojan.GenericKD.1490642 20140114
Ikarus Trojan.SuspectCRC 20140114
Kaspersky UDS:DangerousObject.Multi.Generic 20140114
Kingsoft Win32.Troj.Generic.a.(kcloud) 20130829
McAfee Artemis!C690ACF5A9AC 20140114
McAfee-GW-Edition Artemis!C690ACF5A9AC 20140114
MicroWorld-eScan Trojan.GenericKD.1490642 20140114
Panda Trj/Agent.JJW 20140114
Sophos Troj/Agent-AFMS 20140114
Symantec Trojan Horse 20140114
TrendMicro-HouseCall TROJ_GEN.F47V0107 20140114
VIPRE Trojan.Win32.Sefnit.cv (v) 20140114
nProtect Trojan.GenericKD.1490642 20140114
y la DLL creada por los EXES generados por el otro fichero USBank – December 2013_ID39485… es identica a la del Early2013TaxReturnReport_98345694857…, por lo que vemos que es lo comun entre ambos mails, e igualmente se lanza desde el registro en la misma clave que la anterior:

O4 – HKCU\..\Run: [Odics] regsvr32.exe “C:\Documents and Settings\Sergio\Configuración local\Datos de programa\Odics\SecurityNetHelper.dll”
A partir del ELISTARA 29.14 de hoy, pasamos a controlar dicha DLL y su clave de carga, ya que es lo que finalmente vemos que deja instalado este supuesto generador del CRYPTOLOCKER

 

Los demas ficheros creados por el proceso, podrían ser complementarios del sistema de cifrado, y consecuenctemente del de descifrado si el usuario decide pagar al hacker para el descifrado de dichos ficheros, por lo cual no los eliminamos quedando a disposición del usuario (Por ejemplo el SecurityNetHelper.lck de 228 kb, que podría ser la clave publica para cada caso.
saludos

ms, 14-1-2014

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies