RANSOMWARE JIGSAW, ELIMINA FICHEROS HASTA QUE SE PAGUE EL RESCATE, Y AÑADE .FUN A LOS FICHEROS CIFRADOS
- RANSOMWARE JIGSAW, ELIMINA FICHEROS HASTA QUE SE PAGUE EL RESCATE, Y AÑADE .FUN A LOS FICHEROS CIFRADOS
Un nuevo ransomware nos ha llegado esta mañana para controlar, y no sólo codifica los ficheros de datos, sino que también los elimina si se toma demasiado tiempo para hacer el pago del rescate.
A partir del ELISTARA 34.86 pasamos a controlar esta nueva familia de ransomwares, que si bien nos ha llegado con el nombre MSR145w.exe, tal como lo hemos subido a virustotal, en la monitorización se ha instalado como Firefox.exe, teniendo ambos el mismo contenido.
Cuando el ransomware Jigsaw se pone en marcha, escanea sus discos para determinadas extensiones, y procederá al codificado de las mismas mediante el cifrado AES, y anexará la extensión .fun, .KKK, .gws, o,. BTC al nombre de archivo dependiendo de la versión. Los archivos seleccionados por el ransomware Jigsaw son:
.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp , .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .Qbw, .QBB, .QBM, .QBI, .QBR , .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb, .Qwc, .Qbp, .Aif, .Qba, .Tlg, .Qbx, .Qby , .1pa, .Qpd, .Txt, .Set, .Iif , .Nd, .Rtp, .Tlg, .Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, .Cgn, .Vsd, .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4, , .Drw, .Dwg.Eps, .Ps, .Prn, .Gif, .Pcd, .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, .Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf, .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, .Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met, .PP4, .Pp5, .Ppf, .Xls, .Xlsx, .Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4, .XPM, .zip, .rar
El preanalisis de virustotal ofrece el siguiente informe
MD5 a9c897ec87315fcc5b26d9f2f43c59b6
SHA1 394c8adb74b3c44efd25b560b79b155fce56ef50
Tamaño del fichero 2.6 MB ( 2768384 bytes )
SHA256: 0832748a5b659a2e5fb23b01910e7b802c7061a97cc5dbafed2df5c4909ef431
Nombre: MSR145w.exe
Detecciones: 24 / 53
Fecha de análisis: 2016-06-29 07:54:39 UTC ( hace 2 horas, 42 minutos )
0
2
Antivirus Resultado Actualización
Avast Win32:Malware-gen 20160629
Baidu Win32.Trojan.WisdomEyes.151026.9950.9958 20160629
Kaspersky Trojan.Win32.Agent.newdcc 20160628
Ikarus Trojan-Ransom.JigSaw 20160629
TrendMicro TROJ_FORUCON.BMC 20160629
TrendMicro-HouseCall TROJ_FORUCON.BMC 20160629
Panda Trj/GdSda.A 20160628
Avira (no cloud) TR/Dropper.MSIL.sdaq 20160629
Symantec Suspicious.Cloud.9 20160629
Malwarebytes Ransom.Jigsaw 20160629
AVG Generic37.CDLN 20160628
Emsisoft Generic.MSIL.Ransomware.Jigsaw.6360FD79 (B) 20160629
ALYac Generic.MSIL.Ransomware.Jigsaw.6360FD79 20160629
Ad-Aware Generic.MSIL.Ransomware.Jigsaw.6360FD79 20160629
Arcabit Generic.MSIL.Ransomware.Jigsaw.6360FD79 20160629
BitDefender Generic.MSIL.Ransomware.Jigsaw.6360FD79 20160629
F-Secure Generic.MSIL.Ransomware.Jigsaw.6360FD79 20160629
GData Generic.MSIL.Ransomware.Jigsaw.6360FD79 20160629
eScan Generic.MSIL.Ransomware.Jigsaw.6360FD79 20160629
nProtect Generic.MSIL.Ransomware.Jigsaw.6360FD79 20160628
Sophos Generic PUA DJ (PUA) 20160629
McAfee-GW-Edition BehavesLike.Win32.Trojan.vc 20160629
McAfee Artemis!A9C897EC8731 20160629
ESET-NOD32 a variant of MSIL/Packed.Confuser.J suspicious 20160629
Cada hora, el ransomware Jigsaw eliminará un archivo en su ordenador e incrementa un contador. Con el tiempo este contador hará que se elimine mas de un archivo cada hora.
Cada vez que se inicia el ransoware la cantidad de archivos que se eliminan es mayor. Después de la infección inicial, cuando el ransomware se reinicia, ya sea a partir de un reinicio o por terminar el proceso, Jigsaw eliminará mil ficheros del ordenador de la victima.
Una vez eliminado el virus con el ELISTARA > 34.86, si no se dispone de copia de seguridad, cabe descargar la utilidad de descifrado de:
//download.bleepingcomputer.com/demonslay335/JigSawDecrypter.zip
Para descifrar los archivos sólo se tiene que seleccionar el directorio y hacer clic en el botón DECRYPT MY FILES. Si desea descifrar toda la unidad, a continuación, se puede seleccionar la unidad C: en sí. Se aconseja no marcar la opción Eliminar archivos cifrados hasta que haya confirmado que la herramienta puede descifrar correctamente sus archivos.
Ver mas información original al respecto en Fuente:
http://www.bleepingcomputer.com/news/security/jigsaw-ransomware-decrypted-will-delete-your-files-until-you-pay-the-ransom/
saludos
ms, 29-6-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.