NUEVOS RANSOMWARES QUE AÑADEN DIRECCION DE MAIL CON QUIEN CONTACTAR, AL FINAL DE LOS FICHEROS CIFRADOS

Otro de los ransomwares que se están propagando actualmente, añade la terminación .id-xxx_???@inbox.lv a los ficheros cifrados, con la que poder ponerse en contacto con el hacker, siendo los primeros dígitos la identificación del cifrado en dicha ocasión (distinto cada vez), con la que el hacker puede enviar descifrador para el caso en particular, tras recibir el pago del rescate, y el segundo bloque en letras es la variante propiamente dicha del indicado ransomware

Por ejemplo, de este segundo bloque hoy nos llega uno añadiendo “hairulla” que identifica la familia de dicho ransomware:

nombre fichero.txt.id-5719895148_hairullah@inbox.lv
Tambien del mismo pais (de dominio .lv), se recibe otra generacion que añade 0X0 a la extension de los ficheros cifrados, y que deja un fichero “FUCKEDFILES.txt” indicando enviar un mail al hacker para segun indica en dicho fichero:

” email me if you want your files back: file1@openmailbox.org or file1@inbox.lv (add these emails to your whitelist or check your junk/spam folder)”

Aunque sean variantes diferentes de dichos ransomwares, podrían ser hechos por el mismo hacker o grupo de ellos, dadas las similitudes de pedir contactar por mail a una direccion de @inbox.lv, aunque pedido de diferente forma.

Si bien ya informamos de este último que añade 0X0 a la extension de los ficheros cifrados en:

https://blog.satinfo.es/2015/mas-informacion-sobre-el-ransomware-de-moda-el-fuckedfiles-que-cambia-la-extension-de-los-ficheros-cifrados-por-0x0/

Y los ahora indicados pueden ser mas de lo mismo, avisamos de estos que añaden al fichero cifrado la direccion de mail con quien comunicarse, para que sepan a qué atenerse.

Como siempre, recordamos las Normas básicas para evitar las consecuencias de dichos ransomwares, que son muy importantes tener presentes e informar de ellas a todos los usuarios que navegan por Internet y/o reciben mails:

https://blog.satinfo.es/2015/62372/

Tengan presente que continuamente aparecen nuevas variantes y que es muy fastidioso que resulten cifrados los documentos, por lo que conviene seguir las indicaciones del ultimo enlace.

Si a pesar de ello resultan afectados, por algun despiste de algun usuario, antes de restaurar los ficheros de la copia de seguridad, recomendamos arrancar en MODO SEGURO y lanzar el ELISTARA aceptando eliminar los ficheros temporales, cuando lo pregunte dicho proceso.

Ante cualquier duda o comentario al respecto, rogamos nos consulten

saludos

ms, 7-10-2015

 

NOTICIA AÑADIDA POSTERIORMENTE SOBRE DICHO RANSOMWARE:

Gracias a una usuaria asociada que ha sufrido dicho cifrado y nos ha participado que en las estaciones de trabajo en las que por tener compartidas unidades con el ordenador infectado, han sufrido el cifrado de ficheros de datos, XDB de Excel por ejemplo, nos ha indicado que ha podido restaurar dichos ficheros cifrados gracias al SHADOW EXPLORER, utilidad que ya con el Cryptolocker informabamos que restauraba las copias de los ficheros anteriores creadas por el SHADOW COPY, esistente y operativo en ordenadores posteriores a Windows Vista , W7 y demás, aunque no en los servidores debido a que aunque exista la aplicación, Microsoft no la deja activa por defecto en dichos sistemas.

A partir del CRYPTOWALL dichas copias eran borradas, dejando inutil dicho proceso, pero en este caso vuelve a ser útil, asi que conviene saberlo y tenerlo presente.

 

ms, 8-10-2015

 

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies