VARIANTE DE RANSOM.CRYPTOINDIAN, CUYO RESCATE  ES UNA ESTAFA al no cumplir lo indicado por decode@india.com

Esta otra variante de ransomware que tambien se hace llamar cryptolocker segun la pantalla que ofrece:

indian decryptindian decrypt.jpg

al parecer no cumplen lo ofrecido tras pagar el “rescate”, por lo que es considerado un “SCAM” (estafa)

Lo pasamos a controlar a partir del ELISTARA 31.84 de hoy

Como sea que se vuelve a lanzar al reiniciar, es importante arrancar en MODO SEGURO y lanzar el ELISTARA indicado antes de restaurar los ficheros afectados, para evitar que sean de nuevo cifrados
El preanalisis de virustotal ofrece el siguiente informe:
MD5 fbd02d93ab443570b97480d9149f5869
SHA1 3fba59ac215af1d31ef46efa40e1f164b42a0d99
Tamaño del fichero 585.5 KB ( 599552 bytes )
SHA256: 3da654a2296f5be1662a9c478ae11a54757807153bfcf8b877974e78e6d39bea
Nombre: pacchetto_742894728974003.exe
Detecciones: 43 / 57
Fecha de análisis: 2015-03-11 09:13:04 UTC ( hace 1 hora, 2 minutos )

0 3

Antivirus Resultado Actualización
ALYac Trojan.GenericKD.2030235 20150311
AVG Zbot.WAO 20150311
AVware Trojan.Win32.Generic.pak!cobra 20150311
Ad-Aware Trojan.GenericKD.2030235 20150311
Agnitum Trojan.Scarsi!3VmFIn8+I8A 20150310
AhnLab-V3 Spyware/Win32.Zbot 20150310
Antiy-AVL Trojan/Win32.Scarsi 20150311
Avast Win32:Agent-AUSM [Trj] 20150311
Avira TR/Crypt.Xpack.116628 20150311
Baidu-International Trojan.Win32.Scarsi.xqg 20150311
BitDefender Trojan.GenericKD.2030235 20150311
CAT-QuickHeal Worm.Gamarue.WR5 20150311
Comodo TrojWare.Win32.UMal.~A 20150311
Cyren W32/Trojan.AGIP-0730 20150311
DrWeb Trojan.Encoder.761 20150311
ESET-NOD32 Win32/Filecoder.DI 20150311
Emsisoft Trojan.GenericKD.2030235 (B) 20150311
F-Prot W32/Trojan2.ONMD 20150311
F-Secure Trojan.GenericKD.2030235 20150311
Fortinet W32/Scarsi.XQG!tr 20150310
GData Trojan.GenericKD.2030235 20150311
Ikarus Trojan.Win32.Scarsi 20150311
Jiangmin Trojan/Crypren.aq 20150310
K7AntiVirus Trojan ( 004aa0281 ) 20150310
K7GW Trojan ( 004aa0281 ) 20150311
Kaspersky Trojan.Win32.Scarsi.xqg 20150311
Malwarebytes Trojan.Pseudo 20150311
McAfee Ransom-AI 20150311
McAfee-GW-Edition Ransom-AI 20150311
MicroWorld-eScan Trojan.GenericKD.2030235 20150311
Microsoft Ransom:Win32/Teerac.A 20150311
NANO-Antivirus Trojan.Win32.Scarsi.dkvdcr 20150311
Norman Troj_Generic.XRLRH 20150311
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20150311
Sophos Troj/Agent-AKTG 20150311
Symantec Trojan.Cryptolocker 20150311
TotalDefense Win32/Tnega.RPKEPb 20150310
TrendMicro TROJ_FORUCON.BME 20150311
TrendMicro-HouseCall TROJ_FORUCON.BME 20150311
VBA32 Trojan.Scarsi 20150310
VIPRE Trojan.Win32.Generic.pak!cobra 20150311
Zillya Trojan.Scarsi.Win32.1717 20150310
nProtect Trojan.GenericKD.2030235 20150310
Dicha version del ELISTARA 31.84 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

Se ha comprobado por usuarios afectados, que el Shadow Copy deja copias de las versiones anteriores de los ficheros codificados, por lo que, quitandoles el añadido a la extension y pulsando boton derecho en su icono, y accediendo a PROPIEDADES, escogiendo RESTAURAR VERSION ANTERIOR de dichos ficheros, se acceden a los ficheros originales (en los ordenadores en los que se tiene activo el SHADOWCOPY, como es el caso del Windows 7 por defecto.

Si bien esta version ya está controlada tanto por McAfee como por Kaspersky, se recuerda que :
“no deben ejecutarse ficheros anexados a mails no solicitados, ni pulsar en sus links ni en imagenes de los mismos, y NUNCA rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias.”

Y mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos.

y para los nuevas variantes de virus que mcafee controla heuristicamente, configurar a nivel MUY ALTO la sensibilidad heuristica en la Consola de Virusscan, tanto a nivel de RESIDENTE A TIEMPO REAL como el de escaneador en EXPLORACION COMPLETA -> RENDIMIENTO Y GUARDAR COMO PREDETERMINADO en columna de la derecha

-Y no olvidar que para la deteccion heuristica del VirusScan, el ordenador debe estar conectado a Internet-
y conviene tener presente la posibilidad de filtrar por extensiones los adjuntos a los mails, con las soluciones perimetrales, controlando extensiones .SCR, EXE, PIF, CPL, etc , teniendo marcada la opcion de examinar incluso dentro de ficheros empaquetados (CAB, ZIP, RAR, etc), y asi impedir que los usuarios reciban dichos ficheros ejecutables contenidos en los anexados de los mails.

Lamentablemente no conviene filtrar los HTML, ya que pueden ser descargas legales, pero hemos visto que tambien los usan para descargar malwares, asi que MUCHO CUIDADO
saludos

ms, 11-3-2015

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies