NUEVA VARIANTE DE RANSOMWARE ALPHA (añade .encrypt a los ficheros cifrados)

A partir del ELISTARA 34.49 pasamos a controlar esta nueva variante de ransomware de la familia ALPHA, de la que hace pocos días ya informamos de su aparición en Internet.

Contiene el siguiente texto:

__________

Greetings,
We’d like to apologize for the inconveniences, however, your computer has been locked. In order to unlock it, you have to complete the following steps:

1. Buy iTunes Gift Cards for a total amount of $400.00
2. Send the gift codes to the indicated e-mail address
3. Receive a code and a file that will unlock your computer.

Please note:,
– The nominal amount of the particular gift card doesn’t matter, yet the total amount have to be as listed above.
– You can buy the iTunes Gift Cards online or in any shop. The codes must be correct, otherwise, you won’t receive anything.
– After receiving the code and the security file, your computer will be unlocked and will never be locked again.

Sorry for the inconveniences caused.

Due to a bug in the code, the email addresses are not listed, but can be extracted from the malware.

criptote@hmamail.com
referas@hmamail.com
terder@hmamail.com
utera@hmamail.com

________________
y presenta esta imagen como fondo de pantalla::


Y codifica los ficheros con las siguientes extensiones:

.3ds, .3fr, .3pr, .ab4, .ac2, .accdb, .accde, .accdr, .accdt, .acr, .adb, .agd1, .ai, .ait, .al, .apj, .arw, .asm, .asp, .aspx, .awg, .backup, .backupdb, .bak, .bat, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .c, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cmd, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .dac, .db, .db3, .dbf, .db-journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .der, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dwg, .dxb, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fpx, .fxg, .gif, .gray, .grey, .gry, .h, .h, .hbk, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iiq, .incpas, .jar, .java, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdb, .mdc, .mef, .mfw, .mmw, .moneywell, .mos, .mpg, .mrw, .myd, .ndd, .nef, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx1, .nx2, .nyf, .odb, .odf, .odg, .odm, .odp, .ods, .odt, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pat, .pcd, .pdf, .pef, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .psafe3, .psd, .ptx, .py, .ra2, .raf, .raw, .rdb, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .sav, .sd0, .sd1, .sda, .sdf, .sldm, .sldx, .sln, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .svg, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .txt, .vb .vbs, .wb2, .x3f, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra

Llega en un mail adjuntando un .js que dropa otro .js que instala el ejecutable que infecta y codifica los ficheros de las extensiones indicadas.

Se recuerda que para este ransomware hay utilidad de descifrado de bleepingcomputer:
http://www.bleepingcomputer.com/news/security/decrypted-alpha-ransomware-accepts-itunes-gift-cards-as-payment/

El preanalisis de virustotal ofrece el siguiente informe:

MD5 8922ddba556f280791c0a7fbe92abf52
SHA1 ea3aa4b16b6f124395e233bdf05b77d29c42438b
Tamaño del fichero 256.5 KB ( 262656 bytes )
SHA256: 7eeaec7790223a0128073f2eac723623a2401e903058a58c14aa26fef65b6008
Nombre: svchost.exe
Detecciones: 11 / 56
Fecha de análisis: 2016-05-05 12:50:15 UTC ( hace 0 minutos )
0 1

Antivirus Resultado Actualización
Avast Win32:Malware-gen 20160505
Baidu Win32.Trojan.WisdomEyes.151026.9950.9998 20160505
CAT-QuickHeal TrojanPWS.ZBot 20160505
ESET-NOD32 a variant of MSIL/Injector.PCK 20160505
Kaspersky Trojan.Win32.Reconyc.fmnz 20160505
Malwarebytes Ransom.Alpha 20160505
McAfee Artemis!8922DDBA556F 20160505
McAfee-GW-Edition BehavesLike.Win32.BadFile.dc 20160505
Panda Generic Suspicious 20160504
Qihoo-360 HEUR/QVM03.0.0000.Malware.Gen 20160505
Symantec Infostealer.Limitail 20160505

Dicha versión del ELISTARA 34.49 que lo detecta y elimina, estará disponible en nuestra web a partir de las 18 h CEST de hoy

saludos

ms, 5-5-2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies