OTROS RANSOMWARES DE RECIENTE APARICION
Aparte del Cryptolocker, luego el Cryptowall, luego Cryptodefense y actualmente los Locky, y TeslaCrypt, de los que tantas versiones han existido, y aparte de los de menos incidencia como los CRYPTFILE2, BRLOCK, y MMLOCKER, todos ellos documentados en nuestras nOTICIAS, resaltamos unos cuantos mas para facilitar su identificación a los usuarios, bien por el nombre del añadido o por sus caracteristicas, indicando igualmente enlace a nuestra Noticia para mayor información.
Esta relación tambien es añadida como complemento a nuestra Bliblia de los ransomwares, a la que accedemos buscando RECORDATORIO, que aconsejamos leer para su conocimiento y divulgación:
Esperamos que lo indicado les sea de utilidad.
_______________
RANSOWMARE ALPHA
añade .encrypt
– Coloca un Fondo de escritorio. (con fondo negro y letras centrales ENCRYPTED)
– Deshabilita el Administrador de Tareas
EL RANSOMWARE ALPHA, TAMBIEN LLAMADO ALPHA LOCKER, SE VENDE COMO KIT TIPO MaaS
Aparte, en el escritorio deja el fichero Read Me (How Decrypt) !!!!.txt
Y en la carpeta del usuario : %Usuario%\newstyle.jpg
y en todas las carpetas donde ha codificado ficheros, tambien copia el antes indicado “Read Me (How Decrypt) !!!!.txt”
Ver Noticias en el blog:
y https://blog.satinfo.es/2016/el-ransomware-alpha-tambien-llamado-alpha-locker-se-vende-como-kit-tipo-maas/
_______________
RANSOMWARE BUCBI
Bucbi infecta a los usuarios mediante ataques de fuerza bruta contra RDP
Por el momento no se conoce demasiada información sobre estos piratas informáticos, salvo que, aunque ellos aseguran ser ucranianos, en realidad todas las pistas apuntan a un origen ruso.
vER NOITICIA EN EL BLOG: https://blog.satinfo.es/2016/bucbi-el-ransomware-que-infecta-a-los-usuarios-a-traves-de-rdp/
_______________
RANSOMWARE CERBER
añade .cerber
EL RANSOMWARE CERBER PUEDE ENTRAR POR VULNERABILIDAD DE ADOBE FLASH PLAYER NO ACTUALIZADO : Añade .CERBER a los ficheros cifrados
vER NOTCIA EN EL BLOG :
EL RANSOMWARE CERBER PUEDE ENTRAR POR VULNERABILIDAD DE ADOBE FLASH PLAYER NO ACTUALIZADO
_______________
RANSOMWARE CRYPTMIX
Este ransomware está formado por una mezcla entre CryptXXX y CryptoWall.
vER NOTICIA EN BLOG: https://blog.satinfo.es/2016/cryptmix-el-ransomware-que-dona-parte-del-dinero-del-rescate-a-la-caridad-al-menos-eso-dicen/
_______________
RANSOMWARE CRIPTOBIT: OTRO DE LA iNDIA, Desaparece una vez ha codificado los ficheros de datos. Ente los afectados están un hospital que usaba XP con IE8…
Crea dos ficheros, uno KEY con 13 filas de datos, y el otro con instrucciones para pagar y demas: momsbestfriend@protonmail.com or torrenttracker@india.com
En el fichero de datos aparece el nombre del ordenador causante de la infeccion:
YourID: 47498208
PC: AUDITORIA1-PC (nombre del PC y del usuario)
USER: auditoria1
ver noticia en el blog : https://blog.satinfo.es/2016/nueva-familia-de-ransomwares-el-criptobit/
________________
RANSOMWARE CRYPTOHOST o MANAMCRYPT
CODIFICA CON ZIP CON PASSWORD y BORRA ORIGINALES
cifra los archivos afectados (en un archivo comprimido protegido con contraseñas), además, tiene la capacidad de borrar los originales e impedir la ejecución de ciertos programas instalados en los sistemas.
vER NOTICIA EN EL BLOG: https://blog.satinfo.es/2016/manamcrypt-o-cryptohost-un-nuevo-ransomware-que-se-propaga-por-torrents/
_______________
RANSOMWARE CRYPTXXX
CRYPTXXX, EL RANSOMWARE QUE NO SÓLO BLOQUEA TUS ARCHIVOS, TAMBIÉN ROBA CONTRASEÑAS Y BITCOIN – Utiliza uel kit de exploit de Angler . Añade .CRYPT a la extensión de los ficheros cifrados
crea de_crypt_readme.txt and de_crypt_readme.html
ver noticia en el blog:
CRYPTXXX, EL RANSOMWARE QUE NO SÓLO BLOQUEA TUS ARCHIVOS, TAMBIÉN ROBA CONTRASEÑAS Y BITCOIN
y esta mas nueva con enlace a utilidad descifradora de Kaspersky:
https://blog.satinfo.es/2016/kaspersky-explica-detalladamente-el-funcionamiento-de-su-herramienta-para-descifrar-los-ficheros-afectados-por-el-cryptxxx/
________________
RANSOMWARE ENIGMA
añade .enigma
nuevo ransomware de origen ruso llamado Enigma
una de las características especiales de este troyano es la forma de instalarse, ya que su instalador está inyectado dentro de código HTML/JS
Por suerte, este ransomware no elimina las Shadow Volume Copies de NTFS, por lo que la víctima puede recuperar fácilmente los datos sin pagar.
nuevo ransomware de origen ruso llamado Enigma
%UserProfile%\Desktop\allfilefinds.dat – Lista de archivos cifrados.
%UserProfile%\Desktop\enigma_encr.txt – Nota de rescate en formato de texto.
Ver Noticia en el blog: https://blog.satinfo.es/2016/enigma-un-nuevo-ransomware-que-se-instala-mediante-javascript/
_________________
“HELP”
el que añade help@restorefiles.info
parece que no deja restos en registro y el bicho desaparece, una vez cifrados los ficheros … site de Amsterdam, pero
restorefiles.info was registered on 2016-04-06 -IP Address: 131.72.137.204
Server Location: Amsterdam – Netherlands
mas info: registrador ruso !!! Name Akilina Tretyakova
Email tretyakova-akilina@mail.ru , Address Pobeda street 68 map
City Moscow – Country RU Russian Federation
NO TENEMOS MUESTRAS PARA PODER CONTROLARLO …
____________
JIGSAW
Añade .fun
JIGSAW : Añade .fun a los ficheros cifrados y va borrando cada hora que pasa sin pagar
se puede restaurar segun se indica en https://blog.satinfo.es/2016/jigsaw-nuevo-ransomware-que-borra-los-ficheros-si-no-se-paga-el-rescate/
______________
LOCKY
Añade .LOCKY
LOCKY : Añade .Locky al final de los ficheros cifrados, despues del ID y la direccion de mail del hacker
deja una nota (_Locky_recover_instructions.txt) en cada carpeta que contenga archivos encriptados.
puede venir en docs com macros y downloads del NEMUCOD
Una vez terminado el cifrado, desaparece del ordenador. El ELISTARA elimina el fondo de escritorio
ver https://blog.satinfo.es/2016/los-archivos-afectados-por-autolocky-y-locky-ya-se-pueden-descifrar/
______________
RANSOMWARE 7ev3n-HONE$T
añade .RSA
NUEVA VARIANTE DE RANSOMWARE 7ev3n-HONE$T : lo controlaremos como 7EV3N
AÑADE .R5A a los ficheros que cifra, cambiando ademas sus nombre por orden numerico, (1.R5a, 2.R5A, 3.R5A) a los que tras descifrarlos (si se paga), les devuelve su nombre original.
Ver noticia en el blog: https://blog.satinfo.es/2016/69048/
_______________
RANSOMWARE SURPRISE
añade .surprise
SURPRISE : entra por vulnerabilidad del TeamViewer. Debe protegerse con contarseña fuerte
añade .surprise a los ficheros cifrados
______________
RANSOWMARE TESLACRYPT
añadía extensiones .CCC, EXX, EZZ, VVV, .micro, .MP3, etc, ahora no añade extensiones ni modifica nombre de ficheros, y actualmente hay la versión 4.2 muy sofisticada.
Elimina las copias del ShadowCopy y ha sido nº 1 de incidencias durante los primeros meses de 2016, si bien ahora lo supera el LOCKY
Persiste su acción tras reiniciar, si no se elimina
Nuestro ELISTARA.EXE los detecta y elimina, o aparca y pide muestras si no son conocidos.
_______________
Se recomienda probar el ELISTARA en todos los casos, y enviar muestra para analizar si se pide, y si no de detecta nada, lanzar el SPROCES y enviar el informe que genera, para analizarlo y localizar los ficheros implicados, especialmente en el caso del CRYPTOLOCKER, que va cambiando y si no se elimina, prosigue su acción a partir del reinicio.
Esperando que les sea de utilidad, reciban saludos
ms, 12-5-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.