NUEVA VARIANTE DE TESLACRYPT-L QUE ES INSTALADA POR UN DOWNLOADER NEMUCOD

Como ya adelantabamos en el analisis del último Downloader NEMUCOD recibido anexado a un mail masivo, la ejecución del fichero anexado instala una nueva gama de TESLACRYPT, esta vez la L, si bien sigue añadiendo VVV a la extensión de los ficheros cifrados, pero cambia la web de descarga y las claves de lanzamiento, asi como el nombre del fichero descargado que ejecuta para la instalación de dicha variante, y que se borra tras finalizar el cifrado de ficheros del servidor.

En esta ocasión, el nombre del fichero que utiliza es lanzado en el registro desde

“santa_svc”=”%Datos de Programa%\rcbhpacroic.exe”

y como en el anterior serie K, en los textos de información, indican que los ficheros son cifrados con un RSA4096 :
(Extracto del texto del fichero de información creado por dicha variante:)

 

“What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

How did this happen ?
!!! Specially for your PC was generated personal RSA-4096 KEY, both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.”

 

El preanalisis de virustotal ofrece el siguiente informe:

MD5 a31e6ec2c7394425ee8a666af7cbc018
SHA1 ec7ccee35ea9ac3a8ec2941c0dcae544a01ec26c
File size 348.5 KB ( 356864 bytes )
SHA256: 457e707f57370167e1a20125c9482e5ea6416990dd58eab2c16c2c388142ebcd
File name: rcbhpacroic.exe
Detection ratio: 5 / 54
Analysis date: 2015-12-15 11:06:40 UTC ( 3 minutes ago )
0 1
Behavioural information
Antivirus Result Update
AhnLab-V3 Trojan/Win32.NgrBot 20151215
Antiy-AVL Trojan/Generic.ASMalwS.1613B54 20151215
Kaspersky UDS:DangerousObject.Multi.Generic 20151215
Qihoo-360 QVM10.1.Malware.Gen 20151215
Rising PE:Trojan.Kryptik!1.A32E [F] 20151215

A partir del ELISTARA 33.55, que estará disponible en nuestra web a partir de las 18 h CEST de hoy, pasaremos a controlar esta nueva variante

Dado que McAfee aun no lo conoce, ya les hemos enviado muestra para que añadan su control y eliminacion en sus proximos DAT

saludos

ms, 15-12-2015

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies