NO PARAN DE LLEGAR NUEVAS MUESTRAS DE TESLACRYPT-T QUE PASAMOS A CONTROLAR ESPECIFICAMENTE CON ELISTARA

Si bien, con la heuristica del ELISTARA, actualmente vamos aparcando y pidiendo muestra de las nuevas variantes que han afectado a usuarios, cifrandoles la informacion de sus ficheros de datos, evitando que se reactive el virus a partir del siguiente reinicio,  volviendo a cifrar los ficheros restaurados desde la copia de seguridad, ademas vamos controlando especificamente los ficheros que nos llegan descargados generalmente por downloaders, como el JS.NEMUCOD, que es el que llega en un fichero .JS empaquetado en un ZIP anexado a un e-mail, el cual, si se ejecuta, instala y lanza el fastidioso ransomware de marras.

A partir del ELISTARA 34.11 de hoy, ademas de otras variantes de TESLACRYPT que recibimos de usuarios infectados, a los que hemos “aparcado” la variante del malware en cuestion, pasamos a controlar estas 17 nuevas variantes del TESLACRYPT, todas ellas diferentes, si bien con los mismos efectos, el cifrado de ficheros de datos a los que ademas añade .MP3 a su extension.

Resumimos con el MD5 de cada uno de las nuevas variantes los que añadimos (de momento) al ELISTARA 34.11 de hoy:
“EB535246874D67CC7BB376331B96306D” -> 34(5).exe 334848
“1E10268788F4F6D6F1CE0165B7ED3E55” -> 80(5).exe 334848
“71F494698A71470E5DC9B8864468569C” -> 85(1).exe 512000
“38CF5BAAC8E6AD477B48B3B6E71230EB” -> 34(1).exe 512000
“E4228BD826B37DE4F734FA5A1CB58DD0” -> 25(5).exe 334848
“840C91F4131E71B7C81BA59CFFD199EA” -> 25(1).exe 512000
“66EEB2249CD3DDB033F0C0695960EAA2” -> 85(5).exe 334848
“B6A3CECF7ACDFA65ABBB43ED8DC2FBBE” -> 93(3).exe 512000
“FDCDBA52D3384FE4BD388B1AE1380EA4” -> 69(5).exe 334848
“A4B0CBB02BD1EE6FF13026F381FC0814” -> 93(2).exe 507904
“971624C8CEA707E0381C682B1453D971” -> 25(4).exe 507904
“F99D5ECCE94F51AF844299EF4E09690F” -> 93(5).exe 334848
“BA5BCCFEC7158842A92D379CF0FD5B94” -> 25(2).exe 507904
“B6F4C55CE1B3D524A9142C528AEADB19” -> 80(4).exe 507904
“000076EE141C65EFF54235276B7ADFA8” -> 93(4).exe 507904
“33FA870220FD0CD5E722FFFA29C09773” -> 87(5).exe 334848
“DF66E2E53BF546C2F6AB25C583A31B03” -> 93(1).exe 512000
Cabe indicar que en las propiedades de muchos de ellos se indica como descripcion MDM Device Interface for Rio 800 device. y el Copyright de Copyright © 2000 – 2001 S3/Diamond Multimedia, para aparentar legalidad en dichos ficheros…

El preanalisis de virustotal de uno de los que presentan dichas propiedades es el siguiente:

MD5 840c91f4131e71b7c81ba59cffd199ea
SHA1 40d40df8751e4b3e2c46ea33a0080c91b7cfdf11
Tamaño del fichero 500.0 KB ( 512000 bytes )

SHA256: edbdd1477353053691b67d120a5661a42b128ffbb271f67887e6f2f296c10326
Nombre: 25(1).exe
Detecciones: 21 / 57
Fecha de análisis: 2016-03-09 09:41:30 UTC ( hace 1 minuto )
0 1

Antivirus Resultado Actualización
AVG Crypt5.AOHX 20160309
Ad-Aware Gen:Variant.Razy.29094 20160309
AegisLab Troj.Crypt.Epack!c 20160309
Arcabit Trojan.Razy.D71A6 20160309
Avast Win32:Malware-gen 20160309
Avira (no cloud) TR/Crypt.EPACK.Gen2 20160309
BitDefender Gen:Variant.Razy.29094 20160309
DrWeb Trojan.Encoder.4116 20160309
ESET-NOD32 a variant of Win32/Kryptik.EQOB 20160309
Emsisoft Gen:Variant.Razy.29094 (B) 20160309
F-Secure Gen:Variant.Mikey.32877 20160309
Fortinet W32/Kryptik.EQAA!tr 20160309
GData Gen:Variant.Razy.29094 20160309
Ikarus Trojan.Win32.Crypt 20160309
Kaspersky Trojan-Ransom.Win32.Bitman.qjq 20160309
Malwarebytes Trojan.Pseudo 20160309
eScan Gen:Variant.Razy.29094 20160309
Panda Trj/Genetic.gen 20160308
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20160309
Rising PE:Malware.Generic(Thunder)!1.A1C4 [F] 20160309
ViRobot Trojan.Win32.U.Agent.512000.F[h] 20160309

Dicha version del ELISTARA 34.11 que los detecta y elimina, estará disponible en nuestra web a partir de las 18 h CEST de hoy

saludos

ms, 9-3-2016