NUEVA FAMILIA DE RANSOMWARES: EL CRIPTOBIT

Estamos recibiendo incidencias de una nueva familia de ransomwares que una vez cifrados los ficheros previstos, se autoborra del ordenador, no dejando mas que ficheros de datos y de informacion para el pago del rescate

Uno de los ficheros de datos es de 18 lineas de codigo que entendemos forma parte de la llave de cifrado, cuyo nombre contiene la palabra KEY, como

4182016000.KEY.txt

correspondiendo a un caso del 18-4-2016, digitos que indica al principio del nombre
y otro fichero de datos parece que contiene los nombres de los ficheros cifrados, y dicen que no se borre, por si se quieren restaurar pagando el rescate:
y por ultimo, un tercer fichero creado por el hacker indica ayuda para el pago del rescate

contenido de dicho fichero para pago del rescate:
__________

YourID: 474982 (variable)
PC: PC-administracion (O EL QUE SEA)
USER: fulanito (nombre usuario que ha ejecutado el ransomware)

*********
Hey

Your files are now encrypted. I have the key to decrypt them back.
I will give you a decrypter if you pay me. Email me at: momsbestfriend@protonmail.com or torrenttracker@india.com

If you don’t get a reply or if both emails die, then contact me using a guaranteed, foolproof Bitmessage:
download it form here https://github.com/mailchuck/PyBitmessage/releases/download/v0.5.8/Bitmessage-0.5.8.exe
Run it, click New Identity and then send me a message at BM-NBvzKEY8raDBKb9Gp1xZMRQpeU5svwg2

Cheers

____________

donde se ve la direccion de correo para comunicarse, y una direccion de chat para mantener dialogo…

Lo bueno de este ransomware es que indica la máquina y usuario que lo ha ejecutado y
lo malo es que una vez cifrados los ficheros, se autoborra, eliminando las claves de
lanzamiento, (al igual que el LOCKY) por lo que aun no podemos controlarlo con el
ELISTARA, y, de momento, tendremos que aprovechar la heuristica del VirusScan,
configurandola como arriba hemos indicado.

En cuanto dispongamos de una muestra (del temporal mientras esté cifrando) pasaremos a controlarlo con dicha utilidad, si bien nada detectará una vez terminado el
cifrado.

Podrán comprobar que ya no actua editando un fichero DOC y copiandolo a un pendrive, y comprobando que no es cifrado, que es lo que hacemos para saber si ya se puede conectar de nuevo el ordenador a la red, y proceder a restaurar los ficheros
cifrados a partir de la copia de seguridad.

Recuerden lo que decimos al respecto de los ransomwares:

informe ransomwares

Aun es incipiente, pero ya hemos tenido algun incidente, por lo que informamos de lo que hemos podido indagar al respecto, para que obren en consecuencia (comprueben que tengan configurado el Nivel Heuristico a MUY ALTO, con ViruScan 8,8 y patch >6, y maquina con acceso a Internet).

saludos

ms, 22-4-2016

Actualizacion añadida posteriormente:

El “CriptoBit” comprueba el idioma configurado para el teclado. Si el teclado está configurado con uno de los siguientes códigos: 0x1a7, 0x419 (Russian) o 0x43f (Kazakh), el programa terminará sin cifrar ningún fichero. Ello ya lo hacía el CRYPTOWALL4, como ya indicamos en su día, con lo que evitaba cifrar ordenadores de sus vecinos…

y las extensiones de los ficheros que cifra, son las siguientes:

ods crp arj tar raw xlsm prproj der 7zip bpw dxf ppj tib nbf dot pps dbf qif nsf ifx cdr pdb kdbx tbl docx qbw accdb eml pptx kdb p12 tax xls pgp rar xml sql 4dd iso max ofx sdf dwg idx rtf dotx saj gdb wdb pfx docm dwk qba mpp 4db myo doc xlsx ppt gpg gho sdc odp psw psd cer mpd qbb dwfx dbx mdb crt sko nba jpg nv2 mdf ksd qbo key pdf aes 3ds qfx ppsx sxc gxk aep odt odb dotm accdt fdb csv txt zip

ms.