NUEVA VARIANTE DE CRYPTOLOCKER, ESTA VEZ DE LA GAMA TORRENT (2ª GENERACION DE CRYPTOLOCKERS)

Otra muestra de ransomware cifrador de archivos, pero de la gama TORRENT (segunda generacion de estos ransomwares), pasa a ser controlado a partir del ELISTARA 31.33 de hoy

A diferencia de los primeros Cryptolockers, estos crean una clave O4 RUN lanzando en cada reinicio el malware, de forma que si no se elimina el virus del ortdenador infectado, volverá a codificar los ficheros de las unidades compartidas (incluida el servidor) en los siguientes reinicios, por lo que no se ha de restaurar los ficheros afectados hasta que se haya detectado el ordenador causante del estropicio y eliminado de él dicho virus.

El preanalisis de virustotal ofrece el siguiente informe:

MD5 d95bf36c4edf480fe9fd208e44c72be4
SHA1 d299b3ab71e13be64d6039647d1186735e4eb5e8
Tamaño del fichero 352.0 KB ( 360448 bytes )
SHA256: ad9692b0d589faf72121e4c390138dfe872fe913f73dd1edb699e60bab38f875
Nombre: 1 Ramsonware Update Flash Player.exe
Detecciones: 49 / 56
Fecha de análisis: 2014-12-29 11:24:34 UTC ( hace 3 horas, 11 minutos )
3 18
Antivirus Resultado Actualización
ALYac Trojan.Spy.Zbot.FLG 20141229
AVG Ransomer.DKI 20141229
AVware Trojan.Win32.Generic!BT 20141229
Ad-Aware Trojan.Spy.Zbot.FLG 20141229
Agnitum Trojan.Rack! 20141228
AhnLab-V3 Trojan/Win32.Zbot 20141228
Antiy-AVL Trojan[Ransom]/Win32.Rack 20141229
Avast Win32:Zbot-UCT [Trj] 20141229
Avira TR/Crilock.360448 20141229
Baidu-International Trojan.Win32.Ransom.ADb 20141229
BitDefender Trojan.Spy.Zbot.FLG 20141229
CAT-QuickHeal Ransom.CryptoLocker.A4 20141229
ClamAV Win.Trojan.CryptoLocker-3 20141229
Comodo TrojWare.Win32.Filecoder.a 20141229
Cyren W32/Backdoor.GODK-2830 20141229
DrWeb Trojan.PWS.Stealer.13130 20141229
ESET-NOD32 Win32/Filecoder.NBS 20141229
Emsisoft Trojan.Spy.Zbot.FLG (B) 20141229
F-Prot W32/Backdoor2.HUXQ 20141229
F-Secure Trojan.Spy.Zbot.FLG 20141228
Fortinet W32/Krypt.DE!tr 20141228
GData Trojan.Spy.Zbot.FLG 20141229
Ikarus Trojan-Ransom.Win32.Rack 20141229
Jiangmin Trojan/Rack.b 20141228
K7AntiVirus Trojan ( 0049aedd1 ) 20141226
K7GW Trojan ( 0049aedd1 ) 20141226
Kaspersky Trojan-Ransom.Win32.Rack.a 20141229
Kingsoft Win32.Troj.Undef.(kcloud) 20141229
Malwarebytes Trojan.CriLock.XL 20141229
McAfee RDN/Ransom-FIB!a 20141229
McAfee-GW-Edition BehavesLike.Win32.FakeAlert.fc 20141228
MicroWorld-eScan Trojan.Spy.Zbot.FLG 20141229
Microsoft Ransom:Win32/Teerac.A 20141229
NANO-Antivirus Trojan.Win32.Fareit.czuxcv 20141229
Norman Spyware.ADYD 20141229
Qihoo-360 Win32/Trojan.Ransom.c63 20141229
Rising PE:Trojan.Win32.Generic.16D48BC9!383028169 20141229
Sophos Troj/Ransom-AIE 20141229
Symantec Trojan.Cryptolocker.F 20141229
Tencent Win32.Trojan.Rack.Wrqh 20141229
TotalDefense Win32/Ransom.ZNfQVF 20141229
TrendMicro TROJ_CRYPTOLOCKER.A 20141229
TrendMicro-HouseCall TROJ_CRYPTOLOCKER.A 20141229
VBA32 Hoax.Rack 20141229
VIPRE Trojan.Win32.Generic!BT 20141229
ViRobot Trojan.Win32.S.Zbot.360448.AB[h] 20141229
Zillya Trojan.Rack.Win32.1 20141228
Zoner Trojan.Filecoder.NBS 20141228
nProtect Trojan.Spy.Zbot.FLG 20141229

A diferencia de los demás variantes, esta ha cifrado los ficheros sin extension, además de los otros de datos con extensiones variadas (en ningun caso EXE, DLL y demas ejecutables)

Además, tambien se diferencia en que este crea un fondo de pantalla para avisar de la infección, asi como crea ficheros PLEASE_READ.TXT en las carpetas afectadas, en lugar del “HOW TO DECRYPT” tipico de los anteriores.

En dicho .TXT aparece una cadena o código que debe enviarse al hacker si se quiere recibir el decodificador (pagando el rescate) para dicha variante.

La version del ELISTARA 31.33 que detecta y elimina esta variante, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos

ms, 29-12-2014