NUEVA VARIANTE DE TESLACRYPT QUE PERSISTE EN EL SISTEMA TRAS EL CIFRADO (aunque sigue añadiendo .MP3)

Hasta ahora, los TeslaCrypt, como otros recientes ransomwares, se autoeliminaban una vez terminada su tarea de cifrado, pero hoy hemos recibido el primero que persiste en el sistema, cambiando la clave de lanzamiento, y tras reiniciar sigue cifrando lo que pueda, añadiendo, como en las ultimas variantes, .MP3 a la extension de los ficheros cifrados

A partir del ELISTARA 33.98 de hoy ya controlamos esta nueva variante, eliminando además las lineas de presentacion del rescate y las de presencia en la máquina infectada, lo cual aparecerá en el informe del INFOSAT.TXT

El preanalisis de virustotal ofrece el siguiente informe:

MD5 bfd7c9aff75b2acee2c738e6791b1fd4
SHA1 33cf34d6ea162c742eee17f6757749311cccce6a
Tamaño del fichero 384.0 KB ( 393216 bytes )
SHA256: 6c3e3135e60626ffda805b72e100f7a9e1bc260f14a00df6901dcc0b8ad4b1e6
Nombre: exmwrwqmqrcb.exe
Detecciones: 5 / 55
Fecha de análisis: 2016-02-19 13:25:43 UTC ( hace 2 minutos )
0 1

Antivirus Resultado Actualización
AhnLab-V3 Trojan/Win32.Teslacrypt 20160219
Avast Win32:Malware-gen 20160219
Kaspersky UDS:DangerousObject.Multi.Generic 20160219
Microsoft Ransom:Win32/Tescrypt.H 20160219
Rising PE:Trojan.Ransom-Tesla!1.A322 [F] 20160219

Como sea que McAfee aun no lo conoce, le hemos enviado muestra para su control y añadido en las proximas versiones de su antivirus.

Dicha version del ELISTARA 33.98 que lo detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy

saludos

ms, 19-2-2016