NUEVA FAMILIA DE RANSOMWARES: EL CRIPTOBIT
Estamos recibiendo incidencias de una nueva familia de ransomwares que una vez cifrados los ficheros previstos, se autoborra del ordenador, no dejando mas que ficheros de datos y de informacion para el pago del rescate
Uno de los ficheros de datos es de 18 lineas de codigo que entendemos forma parte de la llave de cifrado, cuyo nombre contiene la palabra KEY, como
4182016000.KEY.txt
correspondiendo a un caso del 18-4-2016, digitos que indica al principio del nombre
y otro fichero de datos parece que contiene los nombres de los ficheros cifrados, y dicen que no se borre, por si se quieren restaurar pagando el rescate:
y por ultimo, un tercer fichero creado por el hacker indica ayuda para el pago del rescate
contenido de dicho fichero para pago del rescate:
__________
YourID: 474982 (variable)
PC: PC-administracion (O EL QUE SEA)
USER: fulanito (nombre usuario que ha ejecutado el ransomware)
*********
Hey
Your files are now encrypted. I have the key to decrypt them back.
I will give you a decrypter if you pay me. Email me at: momsbestfriend@protonmail.com or torrenttracker@india.com
If you don’t get a reply or if both emails die, then contact me using a guaranteed, foolproof Bitmessage:
download it form here https://github.com/mailchuck/PyBitmessage/releases/download/v0.5.8/Bitmessage-0.5.8.exe
Run it, click New Identity and then send me a message at BM-NBvzKEY8raDBKb9Gp1xZMRQpeU5svwg2
Cheers
____________
donde se ve la direccion de correo para comunicarse, y una direccion de chat para mantener dialogo…
Lo bueno de este ransomware es que indica la máquina y usuario que lo ha ejecutado y
lo malo es que una vez cifrados los ficheros, se autoborra, eliminando las claves de
lanzamiento, (al igual que el LOCKY) por lo que aun no podemos controlarlo con el
ELISTARA, y, de momento, tendremos que aprovechar la heuristica del VirusScan,
configurandola como arriba hemos indicado.
En cuanto dispongamos de una muestra (del temporal mientras esté cifrando) pasaremos a controlarlo con dicha utilidad, si bien nada detectará una vez terminado el
cifrado.
Podrán comprobar que ya no actua editando un fichero DOC y copiandolo a un pendrive, y comprobando que no es cifrado, que es lo que hacemos para saber si ya se puede conectar de nuevo el ordenador a la red, y proceder a restaurar los ficheros
cifrados a partir de la copia de seguridad.
Recuerden lo que decimos al respecto de los ransomwares:
Aun es incipiente, pero ya hemos tenido algun incidente, por lo que informamos de lo que hemos podido indagar al respecto, para que obren en consecuencia (comprueben que tengan configurado el Nivel Heuristico a MUY ALTO, con ViruScan 8,8 y patch >6, y maquina con acceso a Internet).
saludos
ms, 22-4-2016
Actualizacion añadida posteriormente:
El “CriptoBit” comprueba el idioma configurado para el teclado. Si el teclado está configurado con uno de los siguientes códigos: 0x1a7, 0x419 (Russian) o 0x43f (Kazakh), el programa terminará sin cifrar ningún fichero. Ello ya lo hacía el CRYPTOWALL4, como ya indicamos en su día, con lo que evitaba cifrar ordenadores de sus vecinos…
y las extensiones de los ficheros que cifra, son las siguientes:
ods crp arj tar raw xlsm prproj der 7zip bpw dxf ppj tib nbf dot pps dbf qif nsf ifx cdr pdb kdbx tbl docx qbw accdb eml pptx kdb p12 tax xls pgp rar xml sql 4dd iso max ofx sdf dwg idx rtf dotx saj gdb wdb pfx docm dwk qba mpp 4db myo doc xlsx ppt gpg gho sdc odp psw psd cer mpd qbb dwfx dbx mdb crt sko nba jpg nv2 mdf ksd qbo key pdf aes 3ds qfx ppsx sxc gxk aep odt odb dotm accdt fdb csv txt zip
ms.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.