NOVEDADES CON LAS RECIENTES VERSIONES DEL CRYPTOLOCKER QUE LLEGA EN FALSO MAIL DE ENDESA

Nos hemos encontrado con lo que ya habiamos leido y posteado en los comentarios de dicho ransomware:

Notas sobre caracteristicas de algunos ransomwares que pueden ser del interés de nuestros usuarios

en lo que respecta a :

“Algunas variantes, además de cifrar los ficheros del equipo infectado, roban la libreta de direcciones para lograr nuevas víctimas a quién enviar estos mensajes maliciosos.”

Por ello, días despues de haber tenido y eliminado dicho ransomware se encuentran con devoluciones de mails que se han enviado desde la máquina infectada, y que por ser la dirección ya anticuada e inexistente, son devueltas al remitente, sin que se tuviera constancia de haberlas enviado.

Lo cual avisamos de que, aun teniendo constancia de que ello podía pasar, no habíamos tenido experiencia práctica de ello hasta hoy, cuando un usuario afectado ha indicado la devolución de mails por envio a direcciones obsoletas, aunque ya no tenía el virus, pero lo había tenido, que es cuando hizo el cifrado y envio de dichos mails

Por otra parte informamos que en el informe C:\infosat.txt que crea el ELISTARA, a partir de hoy aparecerá una RELACION DE CLAVES QUE EN EL ARRANQUE LANZAN FICHEROS DESDE c:\WINDOWS Y DESDE c:\PROGRAMDATA, que es desde donde actualmente se lanzan los Cryptolockers, y aunque habrán los tipìcos de sistema, por ejemplo el CTFMON, sin que tenga nada que ver y otros similares, pero si aparecen ficheros con nombre desconocido y atipico, probablemente serán los del ransomware, a los que pueden añadir .VIR y enviarnoslos para analizar, dada la probabilidad de que sean los causantes si han sido objeto de cifrado de ficheros en la red.

Además aparecerá el MD5 de dichos ficheros, con lo que ver en virustotal.com si corresponden a malwares, les llamen como les llamen (Cada AV los conoce como quiere !)

Esperando que lo indicado les sea de utilidad, reciban saludos
ms, 7-6-2016