NUEVA VARIANTE DE RANSOMWARE QUE INFECTA AL NAVEGAR, ESTA VEZ VARIANTE DEL TESLACRYPT

Otro Ransomware que codifica ficheros, al ejecutar una aplicacion requerida en una web. Resulta ser una variante del ya conocido TESLACRYPT.

Si ayer nos llevó de cabeza un Cryptolocker que se distribuia masivamente debido a un falso mail de Correos, con una variante que ya pasamos a controlar, hoy nos informan que otra variante de ransomware, esta vez variante de TESLACRYPT ha sido adquirida al navegar y ejecutar una aplicacion requerida para visualizar fotos…, instalandose en dos claves de registro segun vemos en el log del SPROCES enviado por el usuario afectado:
O4 – HKLM\..\Wow6432Node\..\Run: [mscfg] C:\Users\….\AppData\Roaming\hgnfjtu.exe
O4 – HKLM\..\Wow6432Node\..\RunOnce: [*mscfg] C:\Users\….\AppData\Roaming\hgnfjtu.exe
Y como la versión anterior del TESLACRYPT , añade a los ficheros codificados la extension .ECC, eliminando las copias del Shadow Copy, por lo que la recuperación de los ficheros originales ha de ser con la copia de seguridad o accediendo a los intereses del hacker, lo cual desaconsejamos, pero…
Subido al virustotal, actualmente nos ofrece este informe:

MD5 8c50221bc214d0c8224a018bb7937640
SHA1 aedd2a9986fe233b1f923cf2bc9235836e74c91f
Tamaño del fichero 198.5 KB ( 203278 bytes )
SHA256: 99d1c21b0a2d75eca49b3825844ad9aada8c2cbe590df969e6b079bd04803e91
Nombre: hgnfjtu.exe.vir
Detecciones: 6 / 56
Fecha de análisis: 2015-03-25 09:16:37 UTC ( hace 1 minuto )

0 1
Antivirus Resultado Actualización
AVG Inject2.BUXP 20150325
Avast Win32:Malware-gen 20150325
Bkav HW32.Packed.BC91 20150323
ESET-NOD32 a variant of Win32/Injector.BWXJ 20150325
Malwarebytes Trojan.Agent.ED 20150325
Tencent Trojan.Win32.YY.Gen.7 20150325

Al no ser todavia conocidas por McAfee ni Kaspersky, les enviamos muestra para que sea controlada en las próximas versiones de dichos antivirus.

Dicha version del ELISTARA 31.94 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 25-3-2015