NO PARAN DE LLEGAR NUEVAS MUESTRAS DE TESLACRYPT-T QUE PASAMOS A CONTROLAR ESPECIFICAMENTE CON ELISTARA

Si bien, con la heuristica del ELISTARA, actualmente vamos aparcando y pidiendo muestra de las nuevas variantes que han afectado a usuarios, cifrandoles la informacion de sus ficheros de datos, evitando que se reactive el virus a partir del siguiente reinicio,  volviendo a cifrar los ficheros restaurados desde la copia de seguridad, ademas vamos controlando especificamente los ficheros que nos llegan descargados generalmente por downloaders, como el JS.NEMUCOD, que es el que llega en un fichero .JS empaquetado en un ZIP anexado a un e-mail, el cual, si se ejecuta, instala y lanza el fastidioso ransomware de marras.

A partir del ELISTARA 34.11 de hoy, ademas de otras variantes de TESLACRYPT que recibimos de usuarios infectados, a los que hemos “aparcado” la variante del malware en cuestion, pasamos a controlar estas 17 nuevas variantes del TESLACRYPT, todas ellas diferentes, si bien con los mismos efectos, el cifrado de ficheros de datos a los que ademas añade .MP3 a su extension.

Resumimos con el MD5 de cada uno de las nuevas variantes los que añadimos (de momento) al ELISTARA 34.11 de hoy:
“EB535246874D67CC7BB376331B96306D” -> 34(5).exe 334848
“1E10268788F4F6D6F1CE0165B7ED3E55” -> 80(5).exe 334848
“71F494698A71470E5DC9B8864468569C” -> 85(1).exe 512000
“38CF5BAAC8E6AD477B48B3B6E71230EB” -> 34(1).exe 512000
“E4228BD826B37DE4F734FA5A1CB58DD0” -> 25(5).exe 334848
“840C91F4131E71B7C81BA59CFFD199EA” -> 25(1).exe 512000
“66EEB2249CD3DDB033F0C0695960EAA2” -> 85(5).exe 334848
“B6A3CECF7ACDFA65ABBB43ED8DC2FBBE” -> 93(3).exe 512000
“FDCDBA52D3384FE4BD388B1AE1380EA4” -> 69(5).exe 334848
“A4B0CBB02BD1EE6FF13026F381FC0814” -> 93(2).exe 507904
“971624C8CEA707E0381C682B1453D971” -> 25(4).exe 507904
“F99D5ECCE94F51AF844299EF4E09690F” -> 93(5).exe 334848
“BA5BCCFEC7158842A92D379CF0FD5B94” -> 25(2).exe 507904
“B6F4C55CE1B3D524A9142C528AEADB19” -> 80(4).exe 507904
“000076EE141C65EFF54235276B7ADFA8” -> 93(4).exe 507904
“33FA870220FD0CD5E722FFFA29C09773” -> 87(5).exe 334848
“DF66E2E53BF546C2F6AB25C583A31B03” -> 93(1).exe 512000
Cabe indicar que en las propiedades de muchos de ellos se indica como descripcion MDM Device Interface for Rio 800 device. y el Copyright de Copyright © 2000 – 2001 S3/Diamond Multimedia, para aparentar legalidad en dichos ficheros…

El preanalisis de virustotal de uno de los que presentan dichas propiedades es el siguiente:

MD5 840c91f4131e71b7c81ba59cffd199ea
SHA1 40d40df8751e4b3e2c46ea33a0080c91b7cfdf11
Tamaño del fichero 500.0 KB ( 512000 bytes )

SHA256: edbdd1477353053691b67d120a5661a42b128ffbb271f67887e6f2f296c10326
Nombre: 25(1).exe
Detecciones: 21 / 57
Fecha de análisis: 2016-03-09 09:41:30 UTC ( hace 1 minuto )
0 1

Antivirus Resultado Actualización
AVG Crypt5.AOHX 20160309
Ad-Aware Gen:Variant.Razy.29094 20160309
AegisLab Troj.Crypt.Epack!c 20160309
Arcabit Trojan.Razy.D71A6 20160309
Avast Win32:Malware-gen 20160309
Avira (no cloud) TR/Crypt.EPACK.Gen2 20160309
BitDefender Gen:Variant.Razy.29094 20160309
DrWeb Trojan.Encoder.4116 20160309
ESET-NOD32 a variant of Win32/Kryptik.EQOB 20160309
Emsisoft Gen:Variant.Razy.29094 (B) 20160309
F-Secure Gen:Variant.Mikey.32877 20160309
Fortinet W32/Kryptik.EQAA!tr 20160309
GData Gen:Variant.Razy.29094 20160309
Ikarus Trojan.Win32.Crypt 20160309
Kaspersky Trojan-Ransom.Win32.Bitman.qjq 20160309
Malwarebytes Trojan.Pseudo 20160309
eScan Gen:Variant.Razy.29094 20160309
Panda Trj/Genetic.gen 20160308
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20160309
Rising PE:Malware.Generic(Thunder)!1.A1C4 [F] 20160309
ViRobot Trojan.Win32.U.Agent.512000.F[h] 20160309

Dicha version del ELISTARA 34.11 que los detecta y elimina, estará disponible en nuestra web a partir de las 18 h CEST de hoy

saludos

ms, 9-3-2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies