LA ULTIMA HORA DE LOS RANSOMWARES: EL TROLDESH CON EL CIFRADO DE TODOS LOS FICHEROS, AÑADIENDO XTBL A SU EXTENSION

Estos últimos días, además de recibir multiples variantes con la base del Locky, y que ahora añaden .THOR a la extensión de los ficheros cifrados, estamos recibiendo preocupantes avisos de usuarios que han recibido un mail anexando fichero que instala una variante del TROLDESH, que al ejecutarlo codifica todos los ficheros de todas las extensiones, incluidas las de ejecutables y sin extensión, menos los de la carpeta de windows (%windir%) de forma que el windows pueda volver a arrancar, pero con todo lo demás cifrado, y a los ficheros les añade un número hexadecimal seguido de la extensión .Vegclass@aol.com.xtbl

El último fichero recibido a tal efecto ha sido un SETAP1.EXE (que puede parecer SETAPI dada la semejanza del 1 (UNO) con la I mayuscula

Al ejecutarlo, dicho fichero queda residente y procede al cifrado indicado

Coloca una pantalla como Fondo de Escritorio con el texto:

“All of your files are encrypted, to decrypt them write me to email: Vegclass@aol.com”

que aparecta ser una solución para el descifrado de los ficheros, si bien es un acceso al hacker para recibir instrucciones del pago del rescate:

decryption-instructions
[HKEY_CURRENT_USER\Control Panel\Desktop]
“Wallpaper”=”%PathUser%\ Decryption instructions.jpg”

Con el ELISTARA se detectan heuristicamente las claves maliciosas y se eliminan, eliminando además los ficheros utilizados en ellas, y moviendolos a la carpeta C:\MUESTRAS y pidiendo que se nos envien para analizar y controlar, de forma que en el siguiente reinicio ya no serán ejecutados, pero sin ello, en el siguiente reinicio el virus volvería a cargarse en memoria y proseguiría su acción codificadora, aun después de haber restaurado la copia de seguridad.

Lo avisamos pues ya la semana pasada empezaron las incidencias al respecto, y hoy han seguido, por lo que, ademas de RECORDAR QUE NO DEBEN EJECUTARSE FICHEROS ANEXADOS A MAILS NO SOLICITADOS, si se ha sufrido un ataque de este tipo, conviene ARRANCAR EN MODO SEGURO CON FUNCIONES DE RED, DESCARGAR LA ULTIMA VERSION DEL ELISTARA, y LANZARLO, con lo que detectará y eliminará el malware en cuestión para poder arrancar luego normalmente, si bien los ficheros que no son del sistema estarán cifrados, pero el virus ya no se activará.

Ni que decir tiene que lo ideal es no ejecutar los anexados a los mails, pero al menos, si se ha hecho, saber como librarse del bicho y poder restaurar la copia de seguridad.

Saludos

ms, 2-11-2016

 

NOTA:

Ultima información es que el malware llega anexado a un spam de origen ruso, que también puede presentar este fondo de pantalla:

ms.

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies