NUEVA VARIANTE DE RANSOMWARE CRYPTOWALL 4 QUE PASAMOS A CONTROLAR CON ELISTARA

A traves de un asociado que ha sufrido un cifrado por culpa de una variante de CRYPTOWALL4, la familia de Cryptowalls que ademas de cifrar los documentos de datos, tambien cifra el nombre de los ficheros afectados y su extensión, para dificultar mas si cabe la restauración de dichos ficheros desde la copia de seguridad. En este caso hemos podido ver aun la clave de registro que lanza el proceso mientras está en uso, que una vez terminada la tarea de dicho cifrado, es borrada junto con el fichero causante del estropicio, y de la carpeta y fichero creado por diocho proceso malicioso.

En este caso hemos podido ver que el nombre de la clave creada y el fichero que lanza tienen una caracteristica comun a otras muestras conseguidas al cazar el malware a medio proceso de cifrado, y es que la primera parte del nombre de la clave y la ultima parte del nombre son iguales, lo cual pasaremos a controlar a partir del ELISTARA 33.47 de hoy, junto con el control de la nueva muestra de la que ofrecemos preanalisis de virustotal:

MD5 eaa9f063e0754db3c4e51f39d4e91fb2
SHA1 cb9eb2d3b7599de9541d3167dfdacf20ae6e5177
File size 318.0 KB ( 325641 bytes )
SHA256: 53b509eb02c3e2effcfc86bad0a0dc559fb2ce92e33e4146cd6958ccbe0cbf47
File name: E2D62FEF.EXE.VIR
Detection ratio: 35 / 55
Analysis date: 2015-12-01 09:39:30 UTC ( 22 minutes ago )

0 2
Antivirus Result Update
ALYac Trojan.GenericKD.2897423 20151201
AVware Trojan.Win32.Generic!BT 20151201
Ad-Aware Trojan.GenericKD.2897423 20151130
Agnitum Trojan.Yakes!hUF62BRg4L0 20151130
AhnLab-V3 Trojan/Win32.Crowti 20151130
Antiy-AVL Trojan/Win32.Yakes 20151201
Arcabit Trojan.Generic.D2C360F 20151201
Avast Win32:Malware-gen 20151201
Avira TR/Crypt.ZPACK.218243 20151201
Baidu-International Trojan.Win32.Yakes.nowh 20151201
BitDefender Trojan.GenericKD.2897423 20151201
Cyren W32/Ransom.UMZV-0070 20151201
DrWeb Trojan.DownLoader17.61635 20151201
ESET-NOD32 Win32/Filecoder.FJ 20151201
Emsisoft Trojan.GenericKD.2897423 (B) 20151201
F-Secure Trojan.GenericKD.2897423 20151201
Fortinet W32/Yakes.FJ!tr 20151201
GData Trojan.GenericKD.2897423 20151201
Ikarus Trojan.Win32.Filecoder 20151201
K7AntiVirus Riskware ( 0040eff71 ) 20151201
K7GW Riskware ( 0040eff71 ) 20151201
Kaspersky Trojan.Win32.Yakes.nowh 20151201
Malwarebytes Ransom.FileCryptor 20151201
McAfee RansomCWall-FBJ!EAA9F063E075 20151201
McAfee-GW-Edition RansomCWall-FBJ!EAA9F063E075 20151201
MicroWorld-eScan Trojan.GenericKD.2897423 20151201
Microsoft Ransom:Win32/Crowti.A 20151201
NANO-Antivirus Trojan.Win32.DownLoader17.dyxwlw 20151201
Panda Trj/GdSda.A 20151130
Qihoo-360 QVM07.1.Malware.Gen 20151201
Sophos Mal/Ransom-DK 20151201
Symantec Trojan.Cryptodefense 20151130
TrendMicro TROJ_GEN.R0EDC0CKU15 20151201
VIPRE Trojan.Win32.Generic!BT 20151201
nProtect Trojan.GenericKD.2897423 20151201
Y concretamente en el log del SPROCES vemos el lanzamiento de dicho malware:
O4 – HKCU\..\Run: [62feffd32] C:\Documents and Settings\usuario\Datos de programa\62feffd32\e2d62fef.exe

En el cual se ve que los primeros 5 digitos del valor de la clave, en este caso “62fef”, coinciden con los ultimos 5 del nombre del fichero lanzado, y ademas que el valor de la clave completo, en este caso “62feffd32” coincidecon el nombre de la carpeta que contiene el fichero, lo cual hasta ahora se cumple en las muestras obtenidas, y ello le delata.

Dicha version del ELISTARA 33.47 que lo detecta y elimina estará disponible en nuestra web a partir de las 18 h CEST de hoy, si bien se recuerda que ello solo se detecta mientras el malware está en uso, pues una vez terminado su proceso, se autoborra no dejando rastro.

Lamentablemente cuando ello es presente el malware ya está actuando, por lo que lo que debe evitarse es ejecutar el fichero o enlace que llegue en todo mail no solicitado.

saludos

ms, 1-12-2015