HAN CAMBIADO LAS CARACTERISTICAS DEL TESLACRYPT !!! y VAN CAMBIANDO …

Estamos recibiendo muestras de una nueva gama de ransomware TESLACRYPT y vemos que estan haciendo “mejoras” …

Es un surtido de cambios ! A veces implantan clave de lanzamiento, otras no, y el fichero de informacion se llama ahora RECOVER en lugar de RECOVERY, En algunas ya no añaden .MP3, y no modifican el nombre del fichero cifrado, etc…

Estamos observando dichos cambios y vamos a implementar las modificaciones pertinentes a partir del ELISTARA 34.15 de hoy, y a efectos de que los usuarios eliminen (una vez leidas) lo que indican los ficheros de informacion del pago del rescate al hacker, habrá que lanzar un BAT si se quieren eliminar dichos ficheros, conteniendo:

CMD.EXE

del c:\recover*.txt /S /a
del c:\recover*.png /s /a
del c:\recover*.html /s /a

o lanzarlo manualmente desde una sesion del DOS, pero recomendamos apartar uno por si se quisiera acceder al mismo posteriormente…

No lo hacemos desde el ELISTARA por si el usuario requiere saber las carpetas donde hay ficheros cifrados y lo que puede hacer (aunque no lo recomendemos), siempre despues de lanzar el último ELISTARA, que si se tratara de una nueva variante aun no conocida, convendrá lanzar tambien el SPROCES -> SALIR y enviarnos los informes correspondientes al ELISTARA y SPROCES (c:\infosat.txt y c:\sproclog.txt) para ver el fichero del que se trata y obrar en consecuencia.

Aunque vemos que no está estabilizado, llamamos a las variantes de dicha variante (valga la redundancia) como TESLACRYPT-V, y de ellos vamos controlando los que vemos que requieren nuevo tratamiento, como son los de los siguientes hashes:

“7066320B59DE99C8B04D2CC0A6EDC89CBBF985FA” -> 80(3).exe 323584
“BCC77B9ED189D775129471DDC439B79C0C2A17DE” -> 69(3).exe 323584
“D34DDA9DFCD8835ABF97E4D56917E2C4ABB14F5E” -> 25(3).exe 323584
“0EDE7D3D7593D61630090A9C85A184E9F889041C” -> 93(3).exe 323584
“93A6E7E80E8E1E10C252AEC549ADAB5D7AE4B379” -> 85(3).exe 323584
“A73C26C8AC432632289E4D43479194333B47CAE0” -> 93(4).exe 324608
“4BE22CAC27EC433BF05394E7F32A3652F1AB893F” -> 70(3).exe 323584

De ellos, el 93(3) (del medio del listado) subido al virustotal, ofrece el siguiente informe:

MD5 826ffc513e03c7aa0ac9e4d1f515582e
SHA1 0ede7d3d7593d61630090a9c85a184e9f889041c
Tamaño del fichero 316.0 KB ( 323584 bytes )
SHA256: c4a1d8c98015816a766b30bbd02afc788560c974ce0b997057667b461fc506c3
Nombre: 93(3).exe
Detecciones: 7 / 57
Fecha de análisis: 2016-03-15 14:40:17 UTC ( hace 0 minutos )
0 1

Antivirus Resultado Actualización
Avast Win32:Malware-gen 20160315
Bkav HW32.Packed.D22D 20160315
Kaspersky UDS:DangerousObject.Multi.Generic 20160315
Qihoo-360 QVM20.1.Malware.Gen 20160315
Rising PE:Malware.XPACK-HIE/Heur!1.9C48 [F] 20160315
Symantec Suspicious.Cloud.5 20160315
VBA32 suspected of Malware-Cryptor.General.6 20160314

Que, como los demas, vemos que son aun pocos los AV que los controlan, entre ellos Kaspersky pero no McAFee, a quienes les enviamos muestras de ellos para que añadan su control y eliminacion en las siguientes versiones de su AV.

DIcha version del ELISTARA 34.15 que los detecta y elimina, estará disponible en nuestra web a partir de las 18 h CEST de hoy.

saludos

ms, 15-3-2016