NUEVAS VARIANTES DE RANSOMWARE TESLACRYPT QUE AÑADEN EXTENSION MICRO A LOS CIFRADOS Y QUE PASAMOS A CONTROLAR

Ya ayer estuvimos trabajando masivamente contra esta familia de ransomwares que codifica los ficheros de datos con clave asimetrica RSA 4096, el cual llega por mail masivo anexando un zip que contiene un JavaScript NEMUCOD que descarga y ejecuta dicho ransomware, cifrando los ficheros de datos de las unidades accesibles y añadiendoles .micro a su extensión, hasta que termina el trabajo, y se autoborra. eliminando tanto la clave de registro con su lanzamiento, como el fichero que lanzaba (el ransomware) y la carpeta que lo contenía, lo cual suponemos que hace para dificultar su detección y control, al no poderlo analizar por no dejar rastro del malware.

Pero los esfuerzos de nuestros tecnicos no fueron en vano, y siguiendo el origen del mail malicioso y de la web de descarga del anexado, llegaron a la actual fuente, y aunque suponemos que durará poco, por lo menos hemos encontrado un almacen donde ya hay bastantes variantes que aun no son conocidas, y que pasamos a controlarlas a partir del ELISTARA 33.87 de hoy, ademas de enviarlas a los fabricantes de nuestros antivirus (McAfee y Kaspersky) para que pasen a controlarlos en sus proximas versiones de AV, y asi eviten la accion maliciosa antes de que lleguen dichos nuevos ransomwares a los ordenadores de los usuarios, por lo que nos congratulamos y felicitamos a nuestro equipo tecnico ante tal logro tan significativo.

Ofrecemos los SHA256 de las nuevas variantes en cuestion, a titulo informativo, pasando a ser todas ellas controladas a partir del ELISTARA 33.87 que estará disponible en nuestra web a partir de las 18 h CEST de hoy, y de los AV indicados en cuanto lancen las actualizaciones correspondientes:

SHA256 4aac9d9c11dcfc082cc6212c2c5871cb34134184f78fe22b3e242ebfc047bec6

SHA256 0b399dc76a1997be22cad22a78834a4ad89352e93007e526512c7a18ff4d097a

SHA256 324bededd0b4af8af283d345f3f5b48b6f85dc43754015322c5b2f91769f94b8

SHA256 1f61242abd8e9abc2a4fbc460c1fbaf3e169cf376683f14a6f8e29b9c71ee467

SHA256 8366a6c85fac92043048ba949dccf91a5be765c17541215c8f1ca4d4223b2e98

SHA256 89bd61df9583cbceb8f863ccf963d062dfe9e1a5a5d517ce99e96ad1913fd94b

SHA256 59ddde618d8f942055c822881db2c3cd6c1f2568cc5a0f3b3f4d7471eb220001

SHA256 32771e7029fcade7b34bb4092b383c9ec5a5dc58c29bacac551a6c363c0e77a9

Ofrecemos el informe de virustotal del ultimo de ellos:

MD5 2cb89bb158fb2ea8b103cb8f1f4744d1
SHA1 faee81263072e1f85bc5aa3fb4cf6368bb60f504
Tamaño del fichero 492.0 KB ( 503808 bytes )
SHA256: 32771e7029fcade7b34bb4092b383c9ec5a5dc58c29bacac551a6c363c0e77a9
Nombre: 94.exe
Detecciones: 3 / 54
Fecha de análisis: 2016-02-03 09:18:58 UTC ( hace 4 minutos )
0 1
Antivirus Resultado Actualización
AhnLab-V3 Trojan/Win32.Teslacrypt 20160202
Qihoo-360 HEUR/QVM07.1.Malware.Gen 20160203
Rising PE:Trojan.Ransom-Tesla!1.A322 [F] 20160203

Donde vemos que son solo 3 de 54 los AV que actualmente lo controlan

Esperamos que lo indicado será del agrado de nuestros usuarios, esperando que en el futuro podamos seguir aportando ventajas tan significativas !

saludos

ms, 3-2-2016