NUEVA VARIANTE DE TESLACRYPT DE LOS QUE AÑADE .MP3 A LA EXTENSION DE LOS FICHEROS CIFRADOS Y QUE NO SE AUTOELIMINA COMO HASTA AHORA

Publicado el 22 febrero 2016 ¬ 10:33 amh.mscComentarios desactivados en NUEVA VARIANTE DE TESLACRYPT DE LOS QUE AÑADE .MP3 A LA EXTENSION DE LOS FICHEROS CIFRADOS Y QUE NO SE AUTOELIMINA COMO HASTA AHORA

Otra variante del TeslaCrypt que añade .MP3 a los ficheros cifrados, pasa a ser controlada a partir del ELISTARA 33.99 de hoy

Ya lo controlan tanto McAfee (hasta ahora heuristicamente, con su motor Artemis), como Kaspersky, pero al habernos sido enviado por un cliente, lo añadimos al control del ELISTARA de hoy, como arriba indicamos.

Utiliza la misma tecnica que el que anunciabamos el pasado viernes, que persiste tras el cifrado, pues al reiniciar crea otra clave que lanza el mismo fichero desde otro valor, y que vuelve a cifrar lo que puede que todavia no esté cifrado. Por ejemplo, en el informe del SPROCES que nos envia el cliente, vemos:

O4 – HKCU\..\Run: [ojknaedqmupq] C:\Windows\system32\cmd.exe /c start “” “C:\Windows\kogsssdhhybp.exe”

O4 – HKCU\..\Run: [yqdotqhnlmwr] C:\Windows\system32\cmd.exe /c start “” “C:\Windows\kogsssdhhybp.exe”
O4 – HKCU\..\Run: [guvxbedxmlbx] C:\Windows\system32\cmd.exe /c start “” “C:\Windows\kogsssdhhybp.exe”
O4 – HKCU\..\Run: [ybxydomnoepx] C:\Windows\system32\cmd.exe /c start “” “C:\Windows\kogsssdhhybp.exe”
O4 – HKCU\..\Run: [flwegnxkirlg] C:\Windows\system32\cmd.exe /c start “” “C:\Windows\kogsssdhhybp.exe”
O4 – HKCU\..\Run: [lwegnxkirlgw] C:\Windows\system32\cmd.exe /c start “” “C:\Windows\kogsssdhhybp.exe”
O4 – HKCU\..\Run: [yetbpjcmwnuo] C:\Windows\system32\cmd.exe /c start “” “C:\Windows\kogsssdhhybp.exe”
O4 – HKCU\..\Run: [nmcerdhljmxg] C:\Windows\system32\cmd.exe /c start “” “C:\Windows\kogsssdhhybp.exe”
O4 – HKCU\..\Run: [mcerdhljmxgp] C:\Windows\system32\cmd.exe /c start “” “C:\Windows\kogsssdhhybp.exe”

Asi que el mismo fichero ha sido utilizado para instalar diferente clave en 9 reinicios que ha tenido dicho ordenador, lo cual ahora se eliminará con la nueva version del ELISTARA 33.99 de hoy

Evidentemente, con la heuristica avanzada de McAfee ello se detectaba si se tiene activada con el Nivel de Sensibilidad MUY ALTO, como indicamos en el resumen de sugerencias sobre los ransomwares:

RECOMENDACIONES PARA CONTROL DE LOS RANSOMWARES COMO EL CRYPTOLOCKER (RECORDATORIO IMPORTANTE) – con añadido al final

Y ademas con los DATS actuales ya se detecta especificamente, como se puede ver en el informe del preanalisis de virustotal:

MD5 bb268cb8f4e09b156ffdba197d6f2d69
SHA1 51d7f48643513684d6195eecf7998e3320416f4b
Tamaño del fichero 380.0 KB ( 389120 bytes )
SHA256: 0837dc533f229ef049aaba908b02324d95c4e923a3bba23da8a22bd72115fc2c
Nombre: kogsssdhhybp.vir
Detecciones: 36 / 56
Fecha de análisis: 2016-02-22 09:00:31 UTC ( hace 9 minutos )
0 1

Antivirus Resultado Actualización
ALYac Trojan.GenericKD.3054160 20160222
AVG FileCryptor.HFI 20160222
AVware Trojan.Win32.Generic!BT 20160222
Ad-Aware Trojan.GenericKD.3054160 20160222
Agnitum Trojan.Filecoder!f7dE27rllGc 20160221
AhnLab-V3 Trojan/Win32.Teslacrypt 20160221
Antiy-AVL Trojan/Win32.SGeneric 20160222
Arcabit Trojan.Generic.D2E9A50 20160222
Avast Win32:Malware-gen 20160222
Avira TR/AD.TeslaCrypt.Y.215 20160222
Baidu-International Trojan.Win32.TeslaCrypt.I 20160221
BitDefender Trojan.GenericKD.3054160 20160222
DrWeb Trojan.AVKill.59921 20160222
ESET-NOD32 Win32/Filecoder.TeslaCrypt.I 20160222
Emsisoft Trojan.GenericKD.3054160 (B) 20160222
F-Secure Trojan.GenericKD.3054160 20160222
Fortinet W32/Filecoder.I!tr 20160222
GData Trojan.GenericKD.3054160 20160222
Ikarus Trojan.Win32.Filecoder 20160222
K7AntiVirus Trojan ( 004dc0021 ) 20160222
K7GW Trojan ( 004dc0021 ) 20160222
Kaspersky UDS:DangerousObject.Multi.Generic 20160222
Malwarebytes Ransom.FileCryptor 20160222
McAfee RDN/GenericR-GAH 20160222
McAfee-GW-Edition RDN/GenericR-GAH 20160222
MicroWorld-eScan Trojan.GenericKD.3054160 20160222
Microsoft Ransom:Win32/Tescrypt.H 20160222
NANO-Antivirus Trojan.Win32.AVKill.eajnxm 20160222
Rising PE:Trojan.Ransom-Tesla!1.A322 [F] 20160222
Sophos Troj/Ransom-CHV 20160222
Symantec Trojan.Cryptolocker.N 20160221
Tencent Win32.Trojan.Ad.Pfja 20160222
TrendMicro Ransom_CRYPTESLA.YUYAIA 20160222
TrendMicro-HouseCall Ransom_CRYPTESLA.YUYAIA 20160222
VIPRE Trojan.Win32.Generic!BT 20160222
nProtect Trojan.GenericKD.3054160 20160222

Dicha version del ELISTARA 33.99 que lo detecta ye limina, estará disponible en nuestra web a partir de las 18 h CEST de hoy

saludos

ms, 22-2-2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies