NUEVA VARIANTE DE CIFRADO DE FICHEROS, ESTA VEZ CON CRYPTORBIT (SIMILAR AL CRYPTOLOCKER)

Una nueva familia de ransomwares (pago por rescate) que esta mañana ha cifrado los ficheros de datos, imagenes y videos, se presenta con esta imagen:

Al parecer se basa igual que el Cryptolocker en cifrado asimetrico con dos claves, una publica que queda en el ordenador afectado y otra privado que se envia al servidor del hacker.

Segun indica en la imagen, pasados 10 días, el servidor del hacker borra dicha clave privada, con lo que se pierde la posibilidad de recuperacion.

Recordemos que en el caso del CRYPTOLOCKER eran solo 3 los dias que el hacker guardaba la informacion privada, y que el importe del rescate era muy superior, pero igualmente recomendamos mantener las copias de seguridad al día y seguir los consejos de NO EJECUTAR FICHEROS ANEXADOS A MAILS NO SOLICITADOS, COMO TAMPOCO PULSAR EN ENLACES Y EN SUS IMAGENES.

Es importante tener en cuenta que la eliminación del ransomware CRYPTORBIT puede requerir pasos adicionales porque el HOWDECRYPT desactiva el software de seguridad . En varias situaciones, puede ser absolutamente necesario utilizar métodos de puesta en marcha alternativas para prevenir la carga automática en el arranque. También puede ser necesario el uso de métodos manuales para restaurar los archivos a la normalidad. Es importante tener en cuenta que el pago del rescate HOWDECRYPT ransomware a los criminales responsables de este ransomware , les permite continuar desarrollando y distribuyendo mas ransomwares y amenazas similares, por lo que disponer de copias de seguridad de los datos es imprescindible para no tener que caer en la tentación…
De esta nueva variante podemos mostrar el informa de virustotal , con lo que poder detectarlo y aparcarlo con nuestro ELIMD5.EXE (indicando el MD5 de dicho informe):
7d0e4b39930272cecf5ab82e9b05b41c

entrar dicho codigo cuando lo pida la ejecucion del ELIMD5.EXE

El informe en cuestion es:
MD5 7d0e4b39930272cecf5ab82e9b05b41c
SHA1 08c13d1e9c67aa5683b401168bd28ca228b72c14
File size 316.0 KB ( 323584 bytes )
SHA256: 7303d7bd2c0440a30fc7f2c713c1eff728f3bc210f3eb6841cf290108aac9636
Nombre: 7d0e4b39930272cecf5ab82e9b05b41c.exe
Detecciones: 40 / 50
Fecha de análisis: 2014-01-29 06:41:29 UTC ( hace 9 horas, 21 minutos )

0 3

Información de comportamiento Antivirus  Resultado  Actualización
AVG  Zbot.EVJ  20140128
Ad-Aware  Gen:Variant.Symmi.37798  20140129
AhnLab-V3  Spyware/Win32.Zbot  20140128
AntiVir  TR/Dldr.Agent.hboro  20140129
Antiy-AVL  Trojan/Win32.Sharik  20140128
Avast  Win32:Zbot-SIS [Trj]  20140129
Baidu-International  Trojan.Win32.Generic.Axkm  20140128
BitDefender  Gen:Variant.Symmi.37798  20140129
CAT-QuickHeal  Trojan.Malagent.a  20140129
Comodo  TrojWare.Win32.Injector.AUW  20140129
DrWeb  Trojan.DownLoader9.22851  20140129
ESET-NOD32  a variant of Win32/Kryptik.BSNH  20140129
Emsisoft  Gen:Variant.Symmi.37798 (B)  20140129
F-Secure  Gen:Variant.Symmi.37798  20140129
Fortinet  W32/Generic.LGJ!tr  20140129
GData  Gen:Variant.Symmi.37798  20140129
Ikarus  Trojan-Downloader.Win32.Upatre  20140129
Jiangmin  Backdoor/Androm.dxm  20140129
K7AntiVirus  Trojan ( 00492ff21 )  20140128
K7GW  Trojan ( 00492ff21 )  20140128
Kaspersky  Trojan.Win32.Sharik.rhh  20140129
Malwarebytes  Trojan.FakeBankDoc  20140129
McAfee  RDN/Generic.bfr!fr  20140129
McAfee-GW-Edition  Heuristic.LooksLike.Win32.Suspicious.B  20140129
MicroWorld-eScan  Gen:Variant.Symmi.37798  20140129
Microsoft  Trojan:Win32/Malagent  20140129
NANO-Antivirus  Trojan.Win32.FrauDrop.csnqtu  20140128
Norman  Fareit.HA  20140129
Panda  Trj/Genetic.gen  20140128
Qihoo-360  Win32/Trojan.BO.ebf  20140122
Rising  PE:Trojan.Win32.Generic.165A1EC7!375004871  20140128
SUPERAntiSpyware  Trojan.Agent/Gen-Malagent  20140129
Sophos  Troj/DwnLdr-LGJ  20140129
Symantec  Trojan.Cryptolocker.C  20140129
TheHacker  Trojan/Kryptik.bsnh  20140128
TrendMicro  TROJ_GEN.R0CBC0DAO14  20140129
TrendMicro-HouseCall  TROJ_GEN.R0CBC0DAO14  20140129
VBA32  TrojanDropper.FrauDrop.acqdt  20140128
VIPRE  Trojan.Win32.Fareit.if (v)  20140129
ViRobot  Dropper.Agent.102400.R  20140129
Si se localizan muestras de dicho especimen, aparte de aparcarlas, enviarnoslas para analizar y controlar en las proximas versiones del ELISTARA, a to recibida cortesmente de un usuario afectado por dicho virus, en su caso los documentos cifrados de word
pueden ser vistos con el wordpad, viendo el texto y con ello poder recuperar la informacion, mientras que no se puede con Word. Para quien pueda interesar.  ms.