NUEVO RANSOMWARE VARIANTE DEL DAVINCI, QUE AÑADE “NO MORE RANSOM” A LA EXTENSION DE LOS FICHEROS CIFRADOS

Nuevo malware ransomware pasa a ser controlado a partir del EliStarA  35.69 como Ransom.NOMORE

Codifica ficheros BAT, BMP, GIF, JPG, MID, PNG, TXT, WAV, XML, ZIP, etc…, de todas las unidades mapeadas y con acceso de escritura (respetando %Archivos de Programa% y %WinDir%)

Los ficheros codificados son renombrados añadiendo a la extensión .no_more_ransom , quedando de la siguiente forma:

%Cadena Alfanumerica%=.*****.no_more_ransom

donde %Cadena Alfanumerica% varia en cada fichero y ***** es un identificador posiblemente variable según sistema, un numero hexadecimal.

Pone como Fondo de pantalla un BMP con la instrucciones pàra el pago del rescate:

%Datos de Programa%\ ****************.bmp (numero hex. de 16 cifras)

en el caso de la monitorización en cuestión, el nombre del jpg ha sido:

44AAD75B44AAD75B.jpg

El primer CSRSS.EXE se copia en carpeta %Datos de Programa% (All Users)\%windows%\ CSRSS.EXE

“%Datos de Programa% (All Users)\Windows\csrss.exe”
y su ejecución genera otros dos ficheros diferentes con igual nombre:

%Datos de Programa% (All Users)\ Csrss\ csrss.exe   (+s+h)
%Datos de Programa% (All Users)\ Drivers\ csrss.exe (+s+h)

todos ellos son llamados desde el Registro de Sistema:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
“Client Server Runtime Subsystem”=”%Datos de Programa% (All Users)\Windows\csrss.exe”

“NetworkSubsystem”=”%Datos de Programa% (All Users)\Csrss\csrss.exe”

“CSRSS”=”%Datos de Programa% (All Users)\Drivers\csrss.exe”

y en el Root de cada unidad, en el Escritorio de “All Users” y del usuario
infectado crea 10 ficheros README1, README2, README3… README10.txt

El contenido de READMEx.txt, aunque con diferente MD5, es similar a:

Baшu файлы были зашифрoвaны.
Чтoбы расшифpовamь их, Вaм необхoдuмo отnрaвиmь koд:
AB906E4645771D5D14EE|0
на элekmрoнный aдpeс lukyan.sazonov26@gmail.com .
Далеe вы nолучиme вce нeобхoдuмыe uнcmpykции.
Пoпытkи pасшuфрoвamь cамостoяmeльно нe пpивeдym ни k чемy, крoме бeзвозвраmнoй пoтерu uнфopмaцuи.
Eслu вы всё же хoтитe nопыmamься, тo предвapumельно сдeлайтe peзервныe копuu файлoв, uнaчe в cлyчaе
их uзмeнeнuя pасшифрoвkа cтaнеm нeвозможнoй нu пpu kakuх условuяx.
Еcлu вы не nолyчuлu oтветa по вышеykазaнному aдpеcy в meченue 48 чacов (u тольko в этoм cлyчаe!),
восnользyйтеcь фopмой oбpатной cвязu. Эmo мoжно сдeлать двумя cnособамu:
1) Cкaчaйте и уcтанoвuтe Tor Browser по ccылkе: https://www.torproject.org/download/download-easy.html.en
B адрeсной стрoкe Tor Browser-а ввeдuте адрec:
http://cryptsen7fo43rr6.onion/
и нажмumе Enter. Зarрyзuтcя cтранuцa с формой обратнoй cвязu.
2) В любом бpаyзеpе пepейдиmе пo одному из адpеcoв:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
AB906E4645771D5D14EE|0
to e-mail address lukyan.sazonov26@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
https://www.torproject.org/download/download-easy.html.en
Install it and type the following address into the address bar:
http://cryptsen7fo43rr6.onion/
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

IMPORTANTE: Queda Residente hasta que se ha pasado el ELISTARA y reiniciado el equipo.

Mucho cuidado estos días, que puede llegar anexado a un SPAM con la argucia del BLACK FRIDAY por ejemplo, por lo que una vez mas recordamos que NO SE DEBEN EJECUTAR FICHEROS ANEXADOS A MAILS NO SOLICITADOS !!!

El preanalisis de VIRUSTOTAL sobre el CSRSS.EXE que lo organiza todo (el que se instala en “%Datos de Programa% (All Users)\Windows\csrss.exe”), ofrece el siguiente informe:

MD5 c1182260e1ba1f930e591a98e75552d9
SHA1 ddfd32c2c5984728f4d60fbc98293aba138e86d1
File size 1008.5 KB ( 1032704 bytes )
SHA256:  0df932043d6da40d958284ea8ee065f6269a3babdbb45ff319f2030d0d6fe115
File name:  csrss(01)(Csrss).exe
Detection ratio:  46 / 57
Analysis date:  2016-11-24 09:25:24 UTC ( 3 minutes ago )
0
2

Antivirus  Result  Update
AVG  FileCryptor.LJR  20161124
AVware  Trojan.Win32.Generic!BT  20161124
Ad-Aware  Gen:Trojan.Heur.@mKfX4Dtz1dc  20161124
AegisLab  Troj.W32.Generic!c  20161124
AhnLab-V3  Trojan/Win32.Troldesh.C1343996  20161124
Arcabit  Trojan.Heur.E8CC1E  20161124
Avast  Win32:Malware-gen  20161124
Avira (no cloud)  TR/Troldesh.bnsj  20161124
Baidu  Win32.Trojan.WisdomEyes.16070401.9500.9914  20161124
BitDefender  Gen:Trojan.Heur.@mKfX4Dtz1dc  20161124
Bkav  W32.Clodaea.Trojan.29f7  20161124
ClamAV  Win.Trojan.Agent-1768932  20161124
Comodo  UnclassifiedMalware  20161124
CrowdStrike Falcon (ML)  malicious_confidence_88% (W)  20161024
Cyren  W32/Trojan.UWQP-5388  20161124
DrWeb  Trojan.DownLoader21.51553  20161124
ESET-NOD32  a variant of Win32/Filecoder.ED  20161124
Emsisoft  Gen:Trojan.Heur.@mKfX4Dtz1dc (B)  20161124
F-Secure  Gen:Trojan.Heur.@mKfX4Dtz1dc  20161124
Fortinet  W32/Filecoder.ED!tr  20161124
GData  Gen:Trojan.Heur.@mKfX4Dtz1dc  20161124
Ikarus  Trojan.Win32.Filecoder  20161124
Invincea  virus.win32.sality.at  20161018
K7AntiVirus  Trojan ( 004b39e91 )  20161124
K7GW  Trojan ( 004b39e91 )  20161124
Kaspersky  Trojan.Win32.Agent.nevnwq  20161124
Malwarebytes  Trojan.FakeMS  20161124
McAfee  RDN/Ransom  20161124
McAfee-GW-Edition  BehavesLike.Win32.Fake.fc  20161124
eScan  Gen:Trojan.Heur.@mKfX4Dtz1dc  20161124
Microsoft  Ransom:Win32/Troldesh.B  20161124
NANO-Antivirus  Trojan.Win32.DownLoader21.edaojb  20161124
Panda  Trj/CI.A  20161123
Qihoo-360  HEUR/QVM18.1.Malware.Gen  20161124
Rising  Ransom.Troldesh!8.5D1-Ms049hmJrqD (cloud)  20161124
SUPERAntiSpyware  Trojan.Agent/Gen-FakeMS  20161124
Sophos  Mal/Generic-S  20161124
Symantec  Ransom.Troldesh  20161124
Tencent  Win32.Trojan.Agent.Sudk  20161124
TrendMicro  Ransom_CRYPSHED.TS  20161124
TrendMicro-HouseCall  Ransom_CRYPSHED.TS  20161124
VBA32  Trojan.Filecoder  20161123
VIPRE  Trojan.Win32.Generic!BT  20161124
ViRobot  Trojan.Win32.Z.Troldesh.1032704[h]  20161124
Yandex  Trojan.Agent!zW7ntML15Sw  20161123
Zillya  Trojan.Agent.Win32.692106  20161123
Como se ve, ya son muchos (46 de 57) los AV que actualmente lo detectan, y es por su parecido con el RANSOMWARE DA_VINCI (que ya controlamos desde el ELISTARA 35.42), del cual deriva, cuyos 49 kbytes primeros son iguales.

Dicha versión del ELISTARA 35.69 que lo detecta y elimina, estará disponible en nuestra web a partir del 25-11-2016

saludos

ms, 24-11-2016