NUEVAS VARIANTES DE TESLACRYPT QUE AÑADEN .EXX Y EZZ A LOS FICHEROS CIFRADOS, EN LUGAR DE .ECC QUE HACIAN LAS VERSIONES INICIALES Y QUE PODIAN DESCIFRARSE CON EL TESLADECRYPT.EXE
Como siempre, van apareciendo variantes “mejoradas” de los malwares conocidos, y en el caso de los Ransomwares, ello está a la orden del día, con los continuos Cryptolockers (debido al falso mail de “CORREOS”) y actualmente los TESLACRYPT. con cifrado AES256 para lo que que podia utilizarse el TESLADECRYPT para el descifrado, pero que ultimamente hay nuevas variantes que dejan los ficheros cifrados con extensiones .EXX y EZZ para los que no sirve dicha utilidad.
Como sea que estamos intentando descubrir el malware utilizado en estas nuevas variantes, señalamos las novedades mas significativas de la variante que añade .EXX a los ficheros cifrados:
__________
RESUMEN DE NOVEDADES DEL TESLADECRYPT QUE AÑADE .EXX EN LUGAR DE .ECC:
Hay algunos nombres de archivo y su ubicación que cambian con esta nueva variante.
La información de la clave de cifrado se almacenaba antes en en el %\key.dat archivo% AppData. En esta versión la información se almacena en %LocalAppData% \ storage.bin.
En este momento no hay ninguna manera de descifrar los archivos con añadido .EXX y el TeslaDecrypt, de momento, no funcionará con estas nuevas variantes.
Conocido sobre Archivos utilizados por esta nueva variante del TeslaCrypt (.EXX):
% LocalAppData% \ <aleatorio> .exeLocalAppData % \ <aleatorio >. exe
% LocalAppData% \ log.html% LocalAppData % \ log . html
% LocalAppData% \ storage.bin% LocalAppData % \ storage . bin
% De sobremesa% \ Save_Files.lnk% de sobremesa % \ Save_Files . lnk
% De sobremesa% \ HELP_RESTORE_FILES.bmp% Desktop % \ HELP_RESTORE_FILES . bmp
% De sobremesa% \ HELP_RESTORE_FILES.txt% Desktop % \ HELP_RESTORE_FILES . txt
Documentos%% \ RECOVERY_FILE.TXT% Documentos % \ RECOVERY_FILE .TXT
Conocido sobre claves de registro usadas en los nuevos TeslaCrypt (.EXX):
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ AVrSvc% LocalAppData% \ <aleatorio> .exeVrSvc % LocalAppData % \ <aleatorio >. exe
_____________
Para mas informacion sobre el TESLACRYPT y sus variantes, ofrecemos el acceso a la FUENTE de esta Noticia:
http://www.bleepingcomputer.com/virus-removal/teslacrypt-alphacrypt-ransomware-information
Como siempre, iremos publicando analisis de nuevos ficheros correspondientes a las nuevas variantes que vayan apareciendo, asi como versión de la utilidad ELISTARA con la que pasamos a controlarlo y las posibilidades de descifrado de los ficheros cifrados.
saludos
ms, 12-5-2015
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.