NUEVA VARIANTE DE CRYPTXXX O ULTRACRYPTER, QUE CIFRA AÑADIENDO .CRYPZ A LOS FICHEROS QUE CIFRA Y DESAPARECE AL TERMINAR, TRAS CIFRAR CON RSA4096

Aunque pocas, vamos recibiendo muestras de variantes de uno de los ransomwares mas temibles, ya que usa un cifrado con RSA4096, que solo Dios y el hacker pueden descifrarlo…

Además, lo normal es que una vez terminado el cifrado, desaparezca del ordenador, para que no los antivirus no puedan tratar de detectarlo y eliminarlo.

De todas formas, si aun no ha terminado el cifrado, y el ransomware aun está activo, el ELISTARA busca por la clave de lanzamiento (que luego desaparece) la DLL a la que llama a traves de un RUNDLL32.EXE que oculta con el nombre de un fichero de sistema, como en este caso que usa el nombre de EXPLORER.EXE, para despistar, y elimina tanto la DLL como a dicha clave.

A partir del ELISTARA 34.78 de hoy pasamos a añadir el control de esta nueva variante, además de implementar mejoras que hemos visto pueden servir para la detección y eliminación de las nuevas variantes dee sta familia.

Cabe indicar que los ficheros cifrados les pone atributo +R, por lo que para borrarlos una vez restaurados si se dispone de copia de seguridad, debe restablecerse a los ficheros sus atributos normales, pues de lo contrario no podrían ser borrados.

Para la restauraicon de atributos, puede hacerse con un ATTRIB -R C:\*.CRYPZ /s , entendiendo que los ficheros cifrados tienen añadida la extension CRYPZ, y para su eliminación una vez restauradas las copias y quitado dicho atributo +R, se logra con un DEL C:\*.CRYPZ /a /s

Se recuerda que esta familia de ransomwares utiliza el Kit Exploit Angler para atacar las vulnerabilidades tipicas de JAVA y de ADOBE, debiendo actualizarlas quien tenga versiones no parcheadas. Afortunadamente parece que dicho ANGLER ya deja de “ser mejorado” al haber detenido a 50 cibercriminales rusos que lo desarrollaban.

El preanalisis de virustotal ofrece el siguiente informe:

MD5 a4cbff6ebb476e8936c973e02599bb98
SHA1 4b3f0d7a8e8768b99b0d257e9603304473e14094
Tamaño del fichero 376.0 KB ( 385024 bytes )
SHA256: aa4f456093101c587963c1e86ac7af3844240c865a79b0228ba606ce5734e1e5
Nombre: radA463B.tmp.dll
Detecciones: 13 / 51
Fecha de análisis: 2016-06-16 10:08:41 UTC ( hace 13 minutos )
0 1

Antivirus Resultado Actualización
AVG Inject_s.VK 20160616
AegisLab Troj.Atraps.Jbdv!c 20160616
AhnLab-V3 Win-Trojan/CryptXXX.Gen 20160615
Avira (no cloud) TR/ATRAPS.jbdv 20160616
ESET-NOD32 a variant of Win32/Kryptik.FABY 20160616
Fortinet W32/Kryptik.FABY!tr 20160616
K7AntiVirus Trojan ( 004f1fc31 ) 20160616
K7GW Trojan ( 004f1fc31 ) 20160616
Kaspersky HEUR:Trojan.Win32.Generic 20160616
McAfee Artemis!A4CBFF6EBB47 20160616
McAfee-GW-Edition Artemis 20160616
Sophos Mal/Generic-S 20160616
Symantec Trojan.Cryptolocker.AN 20160616

En donde vemos que tanto Kaspersky como McAfee lo detectan heristicamente, por lo que es muy importante lo que siempre de tener configurada la heuristica de los antivirus a nivel MUY ALTO !!!

Y por último, ofrecemos el pantallazo del fondo de escitorio que instala dicho ransomware, y que con a partir del ELISTARA 34.78 de hoy tambien trataremos de eliminar.

HTML del ultracrypter que añade .CRYPZ a los ficheros cifrados.JPG

Dicha versión del 34.78 que lo detecta y elimina, estará disponible en nuestra web a partir de las 18 h CEST de hoy

saludos

ms, 16-6-2016