NUEVOS RANSOMWARES QUE AÑADEN DIRECCION DE MAIL CON QUIEN CONTACTAR, AL FINAL DE LOS FICHEROS CIFRADOS
Otro de los ransomwares que se están propagando actualmente, añade la terminación .id-xxx_???@inbox.lv a los ficheros cifrados, con la que poder ponerse en contacto con el hacker, siendo los primeros dígitos la identificación del cifrado en dicha ocasión (distinto cada vez), con la que el hacker puede enviar descifrador para el caso en particular, tras recibir el pago del rescate, y el segundo bloque en letras es la variante propiamente dicha del indicado ransomware
Por ejemplo, de este segundo bloque hoy nos llega uno añadiendo “hairulla” que identifica la familia de dicho ransomware:
nombre fichero.txt.id-5719895148_hairullah@inbox.lv
Tambien del mismo pais (de dominio .lv), se recibe otra generacion que añade 0X0 a la extension de los ficheros cifrados, y que deja un fichero “FUCKEDFILES.txt” indicando enviar un mail al hacker para segun indica en dicho fichero:
” email me if you want your files back: file1@openmailbox.org or file1@inbox.lv (add these emails to your whitelist or check your junk/spam folder)”
Aunque sean variantes diferentes de dichos ransomwares, podrían ser hechos por el mismo hacker o grupo de ellos, dadas las similitudes de pedir contactar por mail a una direccion de @inbox.lv, aunque pedido de diferente forma.
Si bien ya informamos de este último que añade 0X0 a la extension de los ficheros cifrados en:
Y los ahora indicados pueden ser mas de lo mismo, avisamos de estos que añaden al fichero cifrado la direccion de mail con quien comunicarse, para que sepan a qué atenerse.
Como siempre, recordamos las Normas básicas para evitar las consecuencias de dichos ransomwares, que son muy importantes tener presentes e informar de ellas a todos los usuarios que navegan por Internet y/o reciben mails:
https://blog.satinfo.es/2015/62372/
Tengan presente que continuamente aparecen nuevas variantes y que es muy fastidioso que resulten cifrados los documentos, por lo que conviene seguir las indicaciones del ultimo enlace.
Si a pesar de ello resultan afectados, por algun despiste de algun usuario, antes de restaurar los ficheros de la copia de seguridad, recomendamos arrancar en MODO SEGURO y lanzar el ELISTARA aceptando eliminar los ficheros temporales, cuando lo pregunte dicho proceso.
Ante cualquier duda o comentario al respecto, rogamos nos consulten
saludos
ms, 7-10-2015
NOTICIA AÑADIDA POSTERIORMENTE SOBRE DICHO RANSOMWARE:
Gracias a una usuaria asociada que ha sufrido dicho cifrado y nos ha participado que en las estaciones de trabajo en las que por tener compartidas unidades con el ordenador infectado, han sufrido el cifrado de ficheros de datos, XDB de Excel por ejemplo, nos ha indicado que ha podido restaurar dichos ficheros cifrados gracias al SHADOW EXPLORER, utilidad que ya con el Cryptolocker informabamos que restauraba las copias de los ficheros anteriores creadas por el SHADOW COPY, esistente y operativo en ordenadores posteriores a Windows Vista , W7 y demás, aunque no en los servidores debido a que aunque exista la aplicación, Microsoft no la deja activa por defecto en dichos sistemas.
A partir del CRYPTOWALL dichas copias eran borradas, dejando inutil dicho proceso, pero en este caso vuelve a ser útil, asi que conviene saberlo y tenerlo presente.
ms, 8-10-2015
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.