SIGUEN LAS INFECCIONES CON TESLACRYPT-V, EN 9 DE DOS MEDIDAS DIFERENTES

Siendo como caracteristica diferencial mas visible respecto a las anteriores variantes del TESLACRYPT el que el que, esta variante “V”, ni cambia ni añade extension a la existente en los ficheros que codifica, ademas de otros detalles como el nombre de los ficheros de informacion, que ahora es RECOVER en lugar de RECOVERY de los ultimos grupos R, S, T y U , y el que en algunos subgrupos de este ultimo V no instala clave de lanzamiento para los proximos reinicios, etc, parece que los que clasificamos como V ya se han estabilizado y los podemos controlar de entrada, aunque no los conozcamos especificamente, con la actual version del ELISTARA, pero con la 34.16 de hoy pasamos a controlar especificamente los 9 que hemos recibido hasta ahora, de los cuales pasamos a indicar los hashes SHA1 correspondientes:

“AA0DEFDA534CE700BD70FBBD41ACBE5D34269D6A” -> 80(2).exe 414377
“A454707469394214A2195C8318CA3883FAE6E3AF” -> 85(2).exe 414377
“91FF05929B8C205FABFE0060B22DC9E315CE1609” -> 69(3).exe 410804
“28F26B45FA36C724C1B8B39F21727CC6142D6634” -> 25(1).exe 322560
“138BB5D17EA21A50DDF51DC6243B1D5538E01AB0” -> 70(2).exe 414377
“D19935998256AAF540BE0EFB9E525B31FA2C095F” -> 25(3).exe 410804
“8259CEB001AF6D291DC84B770856B83A76827EA8” -> 93(3).exe 410804
“7A54C0ED9454871E872EB3F625367780ACE5B24C” -> 93(2).exe 414377
“E0975F49EAE6C59CA4A9ED68FF87A510D3B719FA” -> 93(1).exe 322560

De ellos, los dos de 322560 KB, en PROPIEDADES indican como fabricante MICROSOFT, sin duda para confundir a los usuarios.

El preanalisis de virustotal del último de ellos¡, ofrece el siguiente informe:

MD5 990f375981dba09e1e83ac2a8215da60
SHA1 e0975f49eae6c59ca4a9ed68ff87a510d3b719fa
Tamaño del fichero 315.0 KB ( 322560 bytes )SHA256: 4d161276816bb1ce2b0eda60c0f4be5a84ef5da0e72b90ffccddaf8b709de820
Nombre: 93(1).exe
Detecciones: 24 / 57
Fecha de análisis: 2016-03-16 08:47:25 UTC ( hace 5 minutos )
0 1

Antivirus Resultado Actualización
Ad-Aware Trojan.Ransom.ASQ 20160316
AegisLab Uds.Dangerousobject.Multi!c 20160316
AhnLab-V3 Trojan/Win32.Teslacrypt 20160316
Arcabit Trojan.Mikey.D816F 20160316
Avast Win32:Malware-gen 20160316
Avira (no cloud) TR/Crypt.Xpack.433297 20160316
BitDefender Gen:Variant.Mikey.33135 20160316
Bkav HW32.Packed.D95C 20160315
DrWeb Trojan.AVKill.60559 20160316
ESET-NOD32 a variant of Win32/Kryptik.ERIW 20160316
Emsisoft Gen:Variant.Mikey.33135 (B) 20160316
F-Secure Gen:Variant.Mikey.33135 20160316
Fortinet W32/Kryptik.ERHM!tr 20160316
GData Gen:Variant.Mikey.33135 20160316
Kaspersky UDS:DangerousObject.Multi.Generic 20160315
Malwarebytes Ransom.TeslaCrypt 20160316
McAfee-GW-Edition BehavesLike.Win32.Expiro.fc 20160316
eScan Trojan.Ransom.ASQ 20160316
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20160316
Rising PE:Malware.Generic(Thunder)!1.A1C4 [F] 20160316
Sophos Troj/Agent-AQSQ 20160316
Symantec Suspicious.Cloud.5 20160316
TrendMicro Ransom_CRYPTESLA.YKD 20160316
TrendMicro-HouseCall Ransom_CRYPTESLA.YKD 20160316

Dicha versión del ELISTARA 34.16 que los detectan y eliminan, estarán disponibles en nuestra web a partir de las 18 h CEST de hoy

Recordamos que ya no añaden la extension .MP3 a los ficheros cifrados, y que persiste el lanzamiento en los siguientes reinicios, si no se elimina la clave y/o fichero, como hace el ELISTARA actual

Por ultimo, una vez mas, recordamos que el cifrado es con un RSA4096, y que tras eliminar el virus con el ELISTARA indicado, deben restaurarse los ficheros afectados con la copia de seguridad, si posibilidad de descifrado de otra manera (salvo pagando el rescate al hacker, lo cual no aconsejamos…)

Recordar el resumen publicado sobre los ransomwares:
https://blog.satinfo.es/2015/62372/

saludos

ms, 16-3-2016