Variante de Ransom LockScreen (alias GIMEMO) – secuestra display y afecta al MBR
Es un ransomware de cuidado que secuestra el acceso a la visualizacion de pantalla y sobreescribe el MBR con lo que el disco duro queda dañado y requiere actuacion a fondo para restablecer su funcionamiento, que en la mayoría de los casos se perderá su contenido.
Lo pasamos a controlar con el ELISTARA 32.87 de hoy, si bien si ya se ha ejecutado, nada podrán hacer las utilidades al efecto, por lo que lo mas importante es evitar su entrada por ejecución del fichero UPDATER.EXE en el que llega el malware.
Afortunadamente Kaspersky lo controla como Ransom.Win32.Gimemo y McAfee heuristicamente, si bien para mayor control,incluso sin estar en Internet (condicion basica para la deteccion heuristica, ademas de estar configurado en tal sentido), se lo hemos enviado para que lo controlen especificamente en proximas versiones
El preanalisis de virustotal ofrece el siguiente informe:
MD5 ec9bc5122cf299e170f0fb8fbc6c9196
SHA1 44b37ac4c7ecb0b797de9723fb9d4f6914b3ad66
File size 191.5 KB ( 196096 bytes )
SHA256: 9a32bde49d7a5a3426ab1623903298727da75fedbcaa536760005e8bcc2b46e8
File name: Updater.exe
Detection ratio: 47 / 57
Analysis date: 2015-09-03 10:00:40 UTC ( 18 minutes ago )
0 1
Antivirus Result Update
ALYac Gen:Variant.Strictor.48210 20150903
AVG ScreenLocker.ANM 20150903
AVware Trojan.Win32.Generic!BT 20150901
Ad-Aware Gen:Variant.Strictor.48210 20150903
Agnitum Trojan.GreenLock.Gen.UO 20150901
AhnLab-V3 Trojan/Win32.Gimemo 20150903
Antiy-AVL Trojan[Ransom]/Win32.Gimemo.bdvq 20150903
Arcabit Trojan.Strictor.DBC52 20150903
Avast Win32:Evo-gen [Susp] 20150903
Avira TR/Strictor.oiuya 20150903
Baidu-International Trojan.Win32.Ransom.bdvq 20150903
BitDefender Gen:Variant.Strictor.48210 20150903
Bkav W32.Clod4f3.Trojan.05df 20150901
CAT-QuickHeal TrojanRansom.Gimemo.01497 20150903
Cyren W32/A-32df3ff0!Eldorado 20150903
DrWeb Trojan.KillProc.26668 20150903
ESET-NOD32 a variant of Win32/LockScreen.AXZ 20150903
Emsisoft Gen:Variant.Strictor.48210 (B) 20150903
F-Prot W32/A-32df3ff0!Eldorado 20150903
F-Secure Gen:Variant.Strictor.48210 20150903
Fortinet W32/LockScreen.AW!tr 20150903
GData Gen:Variant.Strictor.48210 20150903
Ikarus Trojan-Ransom.Win32.Gimemo 20150903
Jiangmin Trojan/Gimemo.isw 20150902
K7AntiVirus Trojan ( 7000000f1 ) 20150903
K7GW Trojan ( 7000000f1 ) 20150903
Kaspersky Trojan-Ransom.Win32.Gimemo.bdvq 20150903
Kingsoft Win32.Troj.Undef.(kcloud) 20150903
Malwarebytes Trojan.Agent.RNS 20150903
McAfee Artemis!EC9BC5122CF2 20150903
McAfee-GW-Edition GenericR-APN!AED1B033628F 20150903
MicroWorld-eScan Gen:Variant.Strictor.48210 20150903
Microsoft Ransom:Win32/Somhoveran.C 20150903
NANO-Antivirus Trojan.Win32.Gimemo.dpubxw 20150903
Panda Trj/Genetic.gen 20150902
Qihoo-360 Win32/Trojan.69d 20150903
Rising PE:Trojan.Win32.Generic.18E9FC8B!417987723[F1] 20150902
SUPERAntiSpyware Trojan.Agent/Gen-Graftor 20150903
Sophos Mal/Generic-S 20150903
Symantec Suspicious.Cloud.9 20150902
Tencent Win32.Trojan.Gimemo.Anfv 20150903
TotalDefense Win32/Tnega.AVPY 20150903
TrendMicro TROJ_GEN.R08JC0DH215 20150903
VBA32 Hoax.Gimemo 20150903
VIPRE Trojan.Win32.Generic!BT 20150903
ViRobot Trojan.Win32.A.Gimemo.196096.AJ[h] 20150903
Zillya Trojan.Gimemo.Win32.8819 20150903
Dicha version del ELISTARA 32.87 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
MUCHO CUIDADO CON ESTE MALWARE QUE EN LA MONITORIZACION , , TRAS EL SIGUIENTE REINICIO, HA DEJADO FUERA DE USO AL DISCO DURO AFECTADO !
saludos
ms, 3-9-2015
PD- McAfee nos ha respondido al respecto que ya con los DAT 7812 y motor 5700-7163, se pasa a controlar como TROJAN Generic-APN! AED1B033628F , sin necesidad de detección heurística.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.
Los comentarios están cerrados.