Consejos para la eliminación del temible ransomware polimorfico VIRLOCK, por su complejidad, expansión y facil regeneración
Consejos para la eliminación del temible ransomware polimorfico VIRLOCK, por su complejidad, expansión y facil regeneración
Como ya indicamos ayer, tras la información del nuevo malware, indicado en:
https://blog.satinfo.es/2015/virlock-ransomware-que-infecta-archivos-y-tiene-poderes-de-resureccion/
Procedimos al preanalisis de virustotal, que puede verse en:
De entrada aparece una pantalla de bloqueo de este tipo:
<<<imagen bloqueo de pantalla>>>
cuyo idioma puede variar segun la ubicacion del pais donde este actuando
Y monitorizando el proceso de infección / expansión / regeneración, ofrecemos los consejos de detección / control y eliminación de dicho engendro.
Como sea que es un infector de ficheros, dejamos en manos de los antivirus su limpieza, de lo que tanto el VirusScan de McAfee como el AV de Kaspersky, cumplen su cometido, para lo cual se deberá arrancar con una unidad externa, como nuestro LIVECD que contiene el VirusScan para Linux, o con el Kaspersky Rescue Disk 10, disponible en Herramientas de seguridad dentro de la web de Kaspersky, que tambien arranca en Linux y contiene el antivirus para dicho sistema, y limpiar el disco duro y unidades infectadas, con el lanzamiento de dichos AV, no olvidando los pendrives que se hubieran conectado a las máquinas infectadas, que tambien estarán infectados y deberán procesarse con dicho modo.
Cabe resaltar que es muy facil olvidarse de procesar una unidad, carpeta o fichero infectado, tras lo cual volvera a infectarse todo el resto, por lo cual recomendamos maxima atencion a la total limpieza, para evitar reincidencias, ya que el proceso de limpieza es muz lento (se puede tardar una hora por cada 100 ficheros procesados) debido al cifrado personalizado de dos capas, el primero es una combinacion de los cifrados XOR y ROL (rotación a la izquierda) y el segundo es un cifrado del tipo XOR, lo cual dificulta y ralentiza su limpieza, mientras que la facilidad de reinfeccion es muy alta.
En resumen:
– Queda residente (3 procesos activos)
– Oculta ficheros y extensiones
– Detiene Procesos. (Explorador de Windows, Administrador de tareas,
Editor de Registro, etc.)
– Infecta EXEs, PDFs, DOCs, XLSs, PPTs, BMPs, GIFs, PNGs, WMAs, etc…
(la infección consiste en una copia del malware + el fichero anfitrión
codificado añadiendole la extensión .EXE)
A titulo de informacion cabe indicar que el virus crea un listado de los ficheros infectados en el fichero %All Users%\????.txt (nombre aleatorio segun sistema)
Esperamos que la información les sirva de utilidad
saludos
ms, 17/3/2015
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.