NUEVA VARIANTE DE RANSOMWARE CRYPTOLOCKER.TORRENT

Seguido a las varias muestras recibidas ultimamente de este ransomware al que detectabamos como CRYPTOLOCKER, como sea que se ha visto que los que están llegando son una “variante” (que poco tiene que ver con el original) que persiste en el ordenador aun tras haber cifrado los ficheros de datos, lanzandose en cada reinicio, con lo que si se recuperan los ficheros desde copia de seguridad, tras reiniciar, volverán a ser cifrados, y por lo visto durante el fin de semana,  existe un sucedaneo que se hace llamar igual, al presentar una imagen para que se le identifique asi, tanto a las muestras recibidas la semana pasada como a las que recibimos hoy, las pasamos a detectar como RANSOM.CRYPTOLOCKER.TORRENT, si bien lo indicado por Bleeping Computer para decifrar los cifrados, no nos ha funcionado con la última variante, posiblemente por continuos cambios que realizan los hackers para obligar a los usuarios afectados a pagar por dicho descifrado.

Además, este de hoy es muy distinto a las variantes de la semana pasada, razon por la que no nos extraña que el cifrado no siga el mismo patrón que los de la semana pasada, y que tampoco funcione el descifrado ofrecido por Bleeping Computer.

La ultima variante recibida pasa a ser controlada especificamente a partir del ELISTARA 30.83 de hoy, pasando a todas estas variantes que no son CRYPTOLOCKERS ORIGINALES, a detectarlas como RANSOMWARE CRYPTOLOCKER.TORRENT, para asi saber a que atenernos.

El preanalisis de viristotal ofrece el siguiente informe:

MD5 11ff8a8e9a643deff1dcf58e7e2fdf20
SHA1 40b1d84b341bae23dc5cfa8dd1c44cf96294cd54
Tamaño del fichero 446.0 KB ( 456704 bytes )
SHA256: 62d0ce15d2dc5825d4bf46690bc296547387f6b74304ba6a6fedbebba440a490
Nombre: Compenso.Pdf_____________________________________________________…
Detecciones: 26 / 52
Fecha de análisis: 2014-10-20 14:19:57 UTC ( hace 32 minutos )

0 3

Antivirus Resultado Actualización
AVG Zbot.QDU 20141020
Ad-Aware Trojan.GenericKD.1930755 20141020
AegisLab Hoax.W32.ArchSMS 20141020
AhnLab-V3 Trojan/Win32.ZBot 20141020
Antiy-AVL Trojan/Win32.Scarsi 20141020
Avast Win32:Malware-gen 20141020
Avira TR/Dropper.A.31041 20141020
Baidu-International Trojan.Win32.Scarsi.agFW 20141019
BitDefender Trojan.GenericKD.1930755 20141020
Cyren W32/Trojan.EPRT-2525 20141020
ESET-NOD32 Win32/Filecoder.DI 20141020
Emsisoft Trojan.GenericKD.1930755 (B) 20141020
GData Trojan.GenericKD.1930755 20141020
Ikarus Trojan.Zbot 20141020
K7AntiVirus Trojan ( 004aa0281 ) 20141020
K7GW Trojan ( 004aa0281 ) 20141020
Kaspersky Trojan.Win32.Scarsi.xgd 20141020
Malwarebytes Trojan.Zbot 20141020
McAfee-GW-Edition RDN/Ransom!el 20141020
MicroWorld-eScan Trojan.GenericKD.1930755 20141020
Microsoft Ransom:Win32/Teerac.A 20141020
Norman Troj_Generic.WNVSJ 20141020
Qihoo-360 Win32/Trojan.Dropper.0a9 20141020
Rising PE:Trojan.Win32.Generic.1779C5F7!393856503 20141020
Sophos Mal/Generic-L 20141020
nProtect Trojan.GenericKD.1930755 20141020

Dicha version del ELISTARA 30.83 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

Se recuerda que estas variantes del Cryptolocker quedan “vivas” dentro del ordenador aun despues de haber cifrado los ficheros de datos, por lo que debe comprobarse la detección y eliminación del malware en los casos en que se haya sufrido el percance del cifrado, a diferencia de otras variantes que se eliminaba automaticamente el malware tras sufrir dicho cifrado.

saludos

ms, 20-10-2014