NUEVAS VARIANTES DE RANSOMWARE CTB-LOCKER que llegan por mail e infectan diferente cada vez

Tanto por ser ejecutado en diferente ordenador, como con diferente sistema, como en el mismo ordenador e igual sistema pero en ocasiones sucesivas, el dichoso CRB-LOCKER cvrea diferente infector que codifica con diferente clave los ficheros de datos, toda una joya !

Si bien recordamos que las estaciones de trabajo de los sistemas actuales de Windows posterior al XP (Vista, W7 y W8) existe la posibilidad de recuperar los ficheros cifrados en base a la copia automatica que hace el Shadow Copy de estos Windows, a la cual se accede en PROPIEDADES -> RESTARURAR VERSION ANTERIOR , de cada uno de dichos ficheros (o con el SHADOW EXPLORER por carpetas, mas comodo) en los servidores dicha funcion, aunque disponible, está desactivada, lo ideal es disponer de COPIA DE SEGURIDAD ACTUALIZADA de los ficheros, para evitar los graves transtornos provocados por estos ataques.

Aunque en el ELISTARA de hoy incluiremos el control y eliminacion de las nuevas variantes que nos vayan llegando, vemos que las combinaciones de nuevas variantes son innumerables, por lo cual recomendamos utilizar la heuristica avanzada del VirusScan de McAfee a nivel MUY ALTO. para poder evitar la entrada y ejecución de estos malwares, aparte de otros similares ya conocidos (Cryptolocker, Cryptorbit, Cryptorwall, Cryptordefense, etc…)

Nuevas variantes que se han instalado por la descarga de un mismo fichero recibido en un mail, tras la ejecución de un .SCR reempaquetado en ZIP’s, subidos al virustotal, ofrecen estos dos informes:

MD5 4ebd076047a04290f23f02d6ecd16fee
SHA1 81f68349b12f22beb8d4cf50ea54d854eaa39c89
Tamaño del fichero 690.0 KB ( 706560 bytes )
SHA256: 9fa13724e14c6acef19fdad6abc41b0c5e4a9c6328c003d2e79e1e3e5f5c253e
Nombre: qpqpkub(1).exe
Detecciones: 27 / 57
Fecha de análisis: 2015-01-20 10:32:52 UTC ( hace 0 minutos )
0 4
Antivirus Resultado Actualización
AVware Win32.Malware!Drop 20150120
Ad-Aware Trojan.GenericKD.2092743 20150120
Avast Win32:Malware-gen 20150120
Avira TR/CTBLocker.A.10 20150120
Baidu-International Trojan.Win32.Filecoder.bDA 20150120
BitDefender Trojan.GenericKD.2092743 20150120
DrWeb Trojan.Siggen6.28826 20150120
ESET-NOD32 Win32/Filecoder.DA 20150120
Emsisoft Trojan.GenericKD.2092743 (B) 20150120
F-Secure Trojan.GenericKD.2092743 20150120
GData Trojan.GenericKD.2092743 20150120
Ikarus Trojan.Win32.Filecoder 20150120
K7AntiVirus Trojan ( 0049d83b1 ) 20150120
K7GW Trojan ( 0049d83b1 ) 20150120
Kaspersky Trojan.Win32.Vimditator.gla 20150120
McAfee Ransom-O 20150120
McAfee-GW-Edition BehavesLike.Win32.Backdoor.jc 20150120
Microsoft Ransom:Win32/Critroni.A 20150120
Norman Dalexis.L 20150120
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20150120
Sophos Mal/EncPk-AMN 20150120
Symantec Trojan.Cryptolocker.E 20150120
Tencent Win32.Trojan.Bp-generic.Wpav 20150120
TrendMicro TROJ_CRYPTCTB.APU 20150120
TrendMicro-HouseCall TROJ_CRYPTCTB.APU 20150120
VIPRE Win32.Malware!Drop 20150120
ViRobot Trojan.Win32.S.Ransom.706560[h] 20150120
y el mismo fichero SCR al ejecutarlo de nuevo:
MD5 789b5189c029697c993071aeba3cbc58
SHA1 dec9fc3c14242565188511cf85c474521eb0950b
Tamaño del fichero 688.5 KB ( 705024 bytes )
SHA256: 6940031f8124e36d61a1d09688876b0e54cbfe5b431ded54a8936c6d21d51a5c
Nombre: qpqpkub(2).exe
Detecciones: 26 / 56
Fecha de análisis: 2015-01-20 11:29:48 UTC ( hace 1 minuto )
0 4
Antivirus Resultado Actualización
ALYac Trojan.Ransom.CTBLocker 20150120
Ad-Aware Trojan.GenericKD.2093335 20150120
Avast Win32:Malware-gen 20150120
Avira TR/CTBLocker.A.11 20150120
Baidu-International Trojan.Win32.Filecoder.BDA 20150120
BitDefender Trojan.GenericKD.2093335 20150120
DrWeb Trojan.Encoder.686 20150120
ESET-NOD32 Win32/Filecoder.DA 20150120
Emsisoft Trojan.GenericKD.2093335 (B) 20150120
F-Secure Trojan.GenericKD.2093335 20150120
GData Trojan.GenericKD.2093335 20150120
Ikarus Trojan.Win32.Filecoder 20150120
K7AntiVirus Trojan ( 0049d83b1 ) 20150120
K7GW Trojan ( 0049d83b1 ) 20150120
Kaspersky Trojan-Ransom.Win32.Onion.w 20150120
Kingsoft Win32.Troj.Advert.ac.(kcloud) 20150120
McAfee Ransom-O 20150120
McAfee-GW-Edition BehavesLike.Win32.Backdoor.jc 20150120
Microsoft Ransom:Win32/Critroni.A 20150120
Qihoo-360 Trojan.Generic 20150120
Sophos Mal/EncPk-AND 20150120
Symantec Trojan.Cryptolocker 20150120
Tencent Win32.Trojan.Bp-generic.Wpav 20150120
TrendMicro TROJ_CRYPCTB.YNU 20150120
TrendMicro-HouseCall TROJ_CRYPCTB.YNU 20150120
ViRobot Trojan.Win32.S.Ransom.705024[h] 20150120

A partir del ELISTARA 31.46 de hoy, pasaremos a controlar estas y las demas variantes que nos lleguen al respecto, si bien sugerimos que se arranque en MDOO SEGURO CON FUNCIONES DE RED (en cuyo modo no se carga dicho virus) y con la heuristica configurada a NIVEL MUY ALTO, se lance el VirusScan de McAfee para eliminarlo, y tras ello poder proceder a restaurar los ficheros desde el Shadow Copy o de la copia de seguridad pertinente.

Y si el ELISTARA encontrara, en el fondo de escritorio, texto relativo al virus, dicha utilidad lo anularía, pudiendo requerir configurarlo de nuevo escogiendo el preferido, desde BOton derecho en el Escritorio -> Propiedades -> Escritorio -> Escoger fondo -> Aplicar y Aceptar.

Agradecemos la colaboracion de usuarios infectados, enviandonos muestras de los mismos, asi como de McAfee Avert Labs por la rapidez en analizar las muestras enviadas y pasar a controlarlas para que utilizando el VirusScan con la heuristica avanzada a NIVEL MUY ALTO, poder controlar las nuevas variantes al respecto.
Confiamos que lo indicado sirva para minimizar los daños por dicha infección !
saludos

ms, 20-1-2015

 

NOTA:

SE RECUERDA UNA VEZ MAS:

“no deben ejecutarse ficheros anexados a mails no solicitados, ni pulsar en sus links ni en imagenes de los mismos, y NUNCA rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias.”

Y mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos.

y para los nuevas variantes de virus que mcafee controla heuristicamente, configurar a nivel MUY ALTO la sensibilidad heuristica en la Consola de Virusscan, tanto a nivel de RESIDENTE A TIEMPO REAL como el de escaneador en EXPLORACION COMPLETA -> RENDIMIENTO

-Y no olvidar que para la deteccion heuristica del VirusScan, el ordenador debe estar conectado a Internet-

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies