OTRA HISTORIA VIRICA: RANSOM CHUING, EMPAQUETADOR RAR CON CIFRADO PGP DE TODOS LOS FICHEROS DE DATOS

Recibimos para analizar y controlar un fichero con extensión CMD el cual llega anexado a un mail y que su ejecución, tras ofrecer un mensaje de “ERROR EN FILE”, para despistar, empaqueta con password los ficheros de datos de los ordenadores a los cuales tiene acceso el ordenador infectado.

Pasamos a controlar a partir del ELISTARA 31.59 de hoy
Lo pasamos a controlar a partir del ELISTARA 31.59 de hoy como RANSOM CHUING por el fichero que contiene de nombre CHUINGAMSIK

Además contiene el fichero RAR:EXE y PGP.EXE normales, sin modificaciones viricas

El preanalisis de virustotal ofrece el siguiente informe:
MD5 6c41449d6c3efd4c9f98374a0d132ff6
SHA1 88039ecb68749ea7d713e4cf9950ffb2947f7683
Tamaño del fichero 964.5 KB ( 987648 bytes )7
SHA256: 1835d811f20697f6639bbea63f49c1b6e6ad8f64c6a4b08741a1130bf2c83fd3
Nombre: Transferencia devuelta pago erroneo.cmd
Detecciones: 20 / 56
Fecha de análisis: 2015-02-05 12:10:44 UTC ( hace 1 minuto )

0 3
Antivirus Resultado Actualización
ALYac Gen:Variant.Symmi.43179 20150205
Ad-Aware Gen:Variant.Symmi.43179 20150205
Avira TR/Dropper.Gen 20150205
Baidu-International Adware.Win32.iBryte.CXIB 20150205
BitDefender Gen:Variant.Symmi.43179 20150205
Cyren W32/Trojan.TTFC-4466 20150205
DrWeb Trojan.DownLoader12.18148 20150205
ESET-NOD32 a variant of Win32/Kryptik.CXIB 20150205
Emsisoft Gen:Variant.Symmi.43179 (B) 20150205
F-Secure Gen:Variant.Symmi.43179 20150205
GData Gen:Variant.Symmi.43179 20150205
Ikarus Win32.SuspectCrc 20150205
Kaspersky Trojan-Downloader.Win32.Genome.pcqn 20150205
McAfee RDN/Generic.tfr!eh 20150205
McAfee-GW-Edition Artemis 20150205
MicroWorld-eScan Gen:Variant.Symmi.43179 20150205
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20150205
Sophos Mal/Generic-S 20150205
Symantec Trojan.Zbot 20150205
TrendMicro-HouseCall TROJ_GEN.R047H09B415 20150205

Dicha version del ELISTARA 31.59 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

Tras la monitorizacion, vemos que el cifrado es con PGP (codificación militar) sin posibilidad de desempaquetamiento de dichos ficheros afectados, sin la clave privada, en propiedad del hacker

saludos

ms, 5-2-2015

ANEXO:

EN CADA CARPETA CONTENIENDO FICHEROS CIFRADOS, APARECE EL FICHERO “filepas.asc” CON EL SIGUIENTE CONTENIDO:

________________

—–BEGIN PGP MESSAGE—–
Version: 2.6.3i

hIwDUn+DYjooOb0BBACZ28yrRM/VbuJjfl2ho/evGNIGE23Nkoaj7oPwl2y6oNrD
bzHM4E2hyqRbBSA5o8B+/0YoFKgxVghVaqswdcDXBFCyBwa32zni+0+FzOHobFnJ
hCIRG/YAWwsH/2b7djFLgvJiVsmDyeE3Dh3ROjbBk6K2cMbFXUH3mpQdbTGsGKYA
AAAx666YgpcTL7nvv2O5GidfWoJqHuDYc/3CuTAId3O+Bu5tcYsGSiH23Szsdwdt
R3BfVw==
=6gg9
—–END PGP MESSAGE—–

The files are packed in archives with a password.
Unpacked – 300 eur
To unpack the files send two files to email: chuingamshiki@gmail.com
1) file you are reading now
2) one packed file (no more than 1 megabyte)
In response comes the original file and the instruction for bitcoin transfer
(The original file is proof that it is possible to return all files to their original)
After the transfer bitcoin, you will receive your password to archives.
Also coming program to automatically unpack files
Reply to your letter will come within 24 hours.
If no response comes for more than 24 hours write to reserved e-mail: chuingamshiki@mail2tor.com
___________________

Del cual se desprende que el hacker pide 300 euros en BITCOIN junto con el envio de dos ficheros , el que se está leyendo (y que contiene los datos de la clave publica) y otro empaquetado (Cifrado) de menos de 1 MB, y, a vuelta de correo, se recibirá el fichero descifrado (prueba de funcionamiento correcto del descifrador) junto con las instrucciones para transferirle los BITCOINS pedidos para el rescate.

Mas o menos, como todos los ransomware…

SE RECUERDA UNA VEZ MAS:

“no deben ejecutarse ficheros anexados a mails no solicitados, ni pulsar en sus links ni en imagenes de los mismos, y NUNCA rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias.”

Y mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos.

O la sensibilidad heuristica en la Consola de Virusscan, tanto a nivel de RESIDENTE A TIEMPO REAL como el de escaneador en EXPLORACION COMPLETA -> RENDIMIENTO Y GUARDAR COMO PREDETERMINADO en columna de la derecha

-Y no olvidar que para la deteccion heuristica del VirusScan, el ordenador debe estar conectado a Internet-
y conviene tener presente la posibilidad de filtrar por extensiones los adjuntos a los mails, con las soluciones perimetrales, controlando extensiones .SCR, EXE, PIF, CPL, CMD, etc , teniendo marcada la opcion de examinar incluso dentro de ficheros empaquetados (CAB, ZIP, RAR, etc), y asi impedir que los usuarios reciban dichos ficheros ejecutables contenidos en los anexados de los mails.

-Y no olvidar que para la deteccion heuristica del VirusScan, el ordenador debe estar conectado a Internet-

y conviene tener presente la posibilidad de filtrar por extensiones los adjuntos a los mails, con las soluciones perimetrales, controlando extensiones .SCR, EXE, PIF, CPL, CMD, etc , teniendo marcada la opcion de examinar incluso dentro de ficheros empaquetados (CAB, ZIP, RAR, etc), y asi impedir que los usuarios reciban dichos ficheros ejecutables contenidos en los anexados de los mails.

ms.